Почему я не могу насыщать отставание TCP Syn Flup в Docker, но он прекрасно работает на физическом оборудовании? ⇐ Apache

[Anonymous]

Проблема
Я исследую атаки син -наводнений для университетского проекта, но я сталкиваюсь с интересной проблемой: та же атака, которая успешно насыщает малиновый PI полностью в окружающей среде Docker . Despite extensive testing and configuration adjustments, I cannot replicate in Docker the network saturation effects that are easily observable on physical hardware.
Test Environment Details
Setup 1: Docker Environment (where attack fails)

• Host machine: MacBook Air M2 (ARM64)
• Docker Network : Custom Bridge Network (

  Код: Выделить всё

  etu-net

  )
• Target container: Ubuntu 22.04 with Apache2 (exposed on port 80)
• Attacker container: Python 3.12 DevContainer with scapy, hping3, pytest installed
• Both containers are in the same Docker Сеть < /li>
  Все тесты запускаются из VS -кода через pytest в контейнере злоумышленника < /li>
  < /ul>
  Настройка 2: Физическая машина (где атака успевает) < /h3>
  
  aterly>: raspberr OS
• злоумышленник : тот же DevContainer Python, что и выше,
• Тесты, выполненные идентично с помощью одного и того же кода
• Raspberry Pi < /h2>
  при атаке Raspberry Pi из моего DevContainer: < /p>
  • очередь syn_recv быстро заполняет до 64 записей (или 511 в зависимости от конфигурации) < /li>
    tcp retransmissions визуализируется в Matrics) < /li>
    tcp vestible in Matrics) < /li>
    tcp. /> http -запросы не удастся с отказанием подключения или ошибок тайм -аута
  • Атака эффективна с использованием обоих сценариев hping3 и пользовательских сценариев питона с использованием scapy
  • Сервер: tcp_syncookies = 0 , TCP_MAX_SYN_BACKL = 64
    • Очередь syn_recv никогда не увеличивается (остается при подключении 0 или 1)
    • HTTP -запросы всегда успешны без какого -либо замедления
    • Настройка tcp_syncookies = 0 и минимизации tcp_max_syn_backl и code> и codaxcon> и codaxcon и codesconnn_syn_seclog Во всех случаях, несмотря на то, что миллионы образованных первых пакетов сгенерировали, запросы не насыщены и HTTP всегда успешны. />
      Мостовая сеть Docker может фильтрация или обработка полуоткрытых соединений на более низком уровне < /li>
      слой виртуализации на macos m2 может защищать от насыщения на насыщенность < /li>
      Внутри. по -разному < /li>
      Docker может отвергать пакеты SYN, прежде чем они смогут потреблять ресурсы TCP Backlog < /li>
      < /ol>
      Вопросы < /h2>
      
      В основном возможно насыщать TCP -запас (Syn_RECV Queue) в Queue) в aReue -in -voue -voue) в атмосфере (syn_recv в а -leue) в атмосфере (syn_recv) в основном, содержащий в курсе, Syn_RECV). /> Существуют ли конкретные конфигурации сети Docker, необходимые для правильной работы SYN наводнения? Предотвратите этот тип атаки от работы, как и ожидалось?>
      
      Подробнее здесь: https://stackoverflow.com/questions/795 ... works-fine