Synproxy Telegraf 输入插件

Synproxy 是自 Linux 内核 3.12 版本以来包含的一个 netfilter 模块。它用于保护传输控制协议（TCP）服务器免受如 SYN 洪水之类的攻击。SYN 洪水是指攻击者反复请求与服务器建立连接，但不完成连接。这些未解决的连接可能会使服务器过载，从而导致服务器运行速度非常慢甚至关闭。Synproxy 作为中介，仅在合法客户端发送完整请求时才连接客户端和服务器。它将有效连接传递出去，并阻止攻击而不影响服务器。您可以使用 Synproxy 来处理加密和非加密的 TCP 流量，因为它不会影响内容。

为什么使用 Synproxy 的 Telegraf 插件？

Synproxy Telegraf 输入插件捕获 Synproxy 的计数器，包括无效的 cookies、重新传输的 cookies、有效的 cookies、条目、接收到的 SYN 和重新打开的连接。使用此插件可以让您监视 Synproxy 阻止通过到您的服务器的攻击。了解像 Synproxy 报截了多少个连接等统计数据，可以让您对安全状态有更全面的了解。在服务器受到攻击的情况下，这些信息可以帮助您调查并阻止未来的安全问题。

如何使用 Telegraf 插件监控 Synproxy

Synproxy Telegraf 输入插件非常易于使用，因为它不需要任何配置。您可以使用查询来监控网络上 Synproxy 的性能，并分析诸如过去一天每小时重新打开的连接数等指标。此插件使得在使用 Synproxy 保护 TCP 服务器免受 SYN 洪水和其他类似攻击时跟踪指标变得容易。

用于监控的关键 Synproxy 指标

您应该积极监控的一些重要 Synproxy 指标包括

• Synproxy
  • 字段
    • cookie_invalid (uint32, 数据包，计数器) - 无效的 cookies
    • cookie_retrans (uint32, 数据包，计数器) - 重新传输的 cookies
    • cookie_valid (uint32, 数据包，计数器) - 有效的 cookies
    • entries (uint32, 数据包，计数器) - 条目
    • syn_received (uint32, 数据包，计数器) - 接收到的 SYN
    • conn_reopened (uint32, 数据包，计数器) - 重新打开的连接

项目 URL   文档