Distribute Deny of Service 即 分布式拒绝服务攻击,原理就是通过构造大量的无用数据包向目标服务发起请求,占用目标服务主机大量的资源,还可能造成链路上面网络拥塞,进而影响到正常用户的访问,我们把这个参数设为1,严格校验数据包的反向路径,如果出访路径不合适,就直接丢弃数据包,这样避免过多的无效连接消耗Linux系统资源;
IP Spoofing 即 IP 欺骗,是指客户端通过伪造源IP,冒充另外一个客户端与目标服务进行通信,从而达到劫持的目的,如果我们把参数设为1,严格校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。
测试访问
RS 抓包
通过RS抓包,可以清楚看出IPIP隧道数据包封装的格式,但回包的时候,直接就回了;
DS抓包(转发server)
这个数据包,感觉有问题,后面我再查下,分析下原因,如果有人知道,也可交流; IPIP 特性总结
DIP, VIP, RIP 都应该是公网地址;
RS 的网关不能、也不可能指向DIP;
请求报文要经由 DS,但响应不经过 DS;
不支持端口映射;
RS 的 OS 得支持隧道功能;
总结
由于各个公司实际情况不同、业务类型不同、容灾策略、基础架构不同,需要结合自己公司的情况进行分析,然后选择合适的解决方案。
本文摘自Linux云计算网络
[video(video-ZxkZ6175-1591944476142)(type-edu_course)(url-https://edu.csdn.net/course/blogPlay?goods_id=19165&blog_creator=KH_FC&marketing_id=162)(image-https://img-bss.csdnimg.cn/20200520195247912.jpg)(title-8小时Python零基础轻松入门)]