====== Защита от SYN flood атаки ======
{{indexmenu_n>2}}

<note tip>Услугу можно настроить через GUI. [[dpi:dpi_components:dpiui:user_guide:ssg_control_section:services:start#защита_от_ddos|Инструкция]]</note>

Атака SYN flood вызывает повышенный расход ресурсов атакуемой системы,
так как на каждый входящий SYN пакет система должна зарезервировать
определенные ресурсы в памяти, либо сгенерировать специальный SYN+ACK ответ, содержащий
криптографическую cookie, осуществлять поиск в таблицах сессий и т.п., т.е. затратить
существенные процессорные ресурсы. В обоих случаях отказ в обслуживании наступает 
при потоке SYN-flood 100000-500000 пакетов в секунду. В то же время даже гигабитный канал 
позволит злоумышленнику направить на атакуемый сайт поток до 1,5 миллиона пакетов в секунду.

СКАТ осуществляет защиту от SYN flood следующим образом:
  - обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN запросов
  - самостоятельно, вместо защищаемого сайта отвечает на SYN запросы (механизм SYN PROXY)
  - организует TCP сессию с защищаемым сайтом после подтверждения запроса клиентом

**Настройки параметров защиты:**

Активировать режим защиты (по умолчанию 0)\\ 
Допустимые значения:\\ 
0 - защита выключена\\ 
1 - активируется автоматически\\ 
2 - включена всегда\\ 
<code>syncf_protection=1</code>

Процент неподтвержденных запросов со стороны клиента, при котором защита автоматически активируется 
(по умолчанию 5, можно менять online) 
<code>syncf_unconfirmed_percent=30</code>

Порог количества syn в секунду (без подтверждения), когда считаем, что все нормально (по умолчанию 50): 
<code>syncf_threshold=50</code> 

Логирование срабатывания защиты (по умолчанию 0)\\
Допустимые значения:\\ 
0 - нет\\  
1 - переключения срабатывания защиты on/off\\ 
<code>syncf_trace=1</code>

Интервал в миллисекундах проверки количества syn и подтвержденных syn (по умолчанию 100)
<code>syncf_check_tmout=100</code> 

Интервал времени в секундах мониторинга ответа на syn+ack, сформированного скат (по умолчанию 60)
<code>syncf_tracking_packs_time=60</code>



В основном конфигурационном файле ///etc/dpi/fastdpi.conf// указываются защищаемые номера портов (по умолчанию 80, можно менять online)
<code>syncf_ports=80:443</code>
Эта настройка является общей для всех защищаемых сайтов.