• [^] # Re: DNSSEC et UDP

    Posté par . En réponse à la dépêche Nouvelle version 2.6.33 du noyau Linux. Évalué à 2.

    A ce sujet, la dépêche omet de préciser que les problèmes de "perte" de certaines options TCP (MSS dans certains cas, SACK, ...) causée par les syncookies est (en gros) réglée depuis le noyau 2.6.26, grâce à un astucieux patch de Florian Westphal exploitant le tcp_timestamp pour stocker les quelques bits pertinents.

    cf. http://lwn.net/Articles/277146/ et le commit 4dfc2817025965a2fc78a18c50f540736a6b5c24 , d'avril 2008.

    L'inconvénient de cette méthode, c'est qu'elle ne suffira plus le jour où le besoin de stocker une nouvelle option tcp pertinente se fera sentir, qu'elle affecte le timestamp tcp initial, et qu'elle est un détail d'implémentation "linux only", pas une solution généralisable.

    L'alternative TCPCT est bien entendu plus propre et permet en outre de ne pas avoir à conserver un état en mémoire pour distinguer les paquets out of band après fermeture d'une connexion (période TIME_WAIT). Mais elle ne sera une protection effective et généralisable contre les floods qu'à partir du moment où on pourra considérer que tout les clients la supportent (et ou on pourra légitimement rejeter tout paquet SYN non transactionnel).

    Bref, activer les syncookies sur un noyau linux moderne est sans danger, et même plutôt prudent.