日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
SYNCACHE(4) FreeBSD カーネルインタフェースマニュアル SYNCACHE(4)
名称
syncache, syncookies -- TCP SYN キャッシュを制御するための sysctl(8) MIB
書式
sysctl net.inet.tcp.syncookies
sysctl net.inet.tcp.syncookies_only
sysctl net.inet.tcp.syncache.hashsize
sysctl net.inet.tcp.syncache.bucketlimit
sysctl net.inet.tcp.syncache.cachelimit
sysctl net.inet.tcp.syncache.rexmtlimit
sysctl net.inet.tcp.syncache.count
解説
syncache sysctl(8) MIB は、SYN フラッドサービス拒絶攻撃を扱うのことを目的
としているシステムの TCP SYN キャッシュを制御するために使用されます。
TCP SYN セグメントが listen (接続を受け付け) ソケットに対応するポートで受
信されるとき、エントリは syncache で作られ、SYN,ACK セグメントはピア (相
手側) に返されます。syncache エントリは、初期の SYN、SYN,ACK 再送信を実行
することための十分な状態、から TCP オプションを保持し、TCP 制御ブロック終
点より少ないスペースを取ります。システムは SYN,ACK のための ACK を含み、
syncache エントリに一致する着信セグメントによって syncache エントリに格納
されているオプションと共に TCP 制御ブロックを作成します。syncache エント
リは次に開放されます。
syncache は、サーバに保存された状態の量を最小にして、syncache の全体的な
サイズを制限することによって、SYN フラッド DoS 攻撃からシステムを保護しま
す。
syncookies はネットワークで初期の SYN に関する状態を維持することによって
syncache のサイズを実質的に拡張する方法を提供します。syncookies を有効に
すると、クライアントマシンへの SYN,ACK 応答で暗号の値を送信し、次に、それ
は、クライアントの ACK で返されます。対応するエントリが syncache で見つか
らないが、値が特定のセキュリティチェックを通過するなら、接続を受け付けら
れます。これは syncache が着信接続のボリュームを扱うことができない場合に
だけ使用され、前のエントリはキャッシュから取り除かれます。
syncookies には、パラノイアの (こだわり過ぎる) 管理者が注意したい特定の数
の不利な点があります。初期の SYN からの TCP オプションが保存されないの
で、ウィンドウのスケール、タイムスタンプ、または正確な MSS サイズ処理のよ
うな機能の使用を除外して、それらは接続に適用されません。返ってくる ACK が
接続を確立するとき、攻撃者が接続を作成する試みでマシンを ACK フラッド (あ
ふれさせる) することが可能であるかもしれません。この危険を軽減するための
方法が取られているとはいえ、これは SYN ビットセットで着信セグメントがフィ
ルタするファイアウォールを迂回させる方法を提供するかもしれません。
syncache を無効にするためには、net.inet.tcp.syncookies_only を 1 に設定し
て、syncookies だけを実行します。
syncache は sysctl(3) MIB の net.inet.tcp.syncache ブランチにおける多くの
変数を実装しています。これらのいくつかは loader(8) で対応する変数を設定す
ることによって、調整することができます。
hashsize syncache ハッシュテーブルのサイズは 2 の冪乗でなければなりま
せん。loader(8) を通して調整可能な読み込み専用変数です。
bucketlimit ハッシュテーブルの各バケットで許可されるエントリの数の制限で
す。これは最小の検索時間にするの低い値とされるべきです。
loader(8) を通して調整可能な読み込み専用変数です。
cachelimit syncache のエントリの総数を制限します。デフォルト (hashsize
x bucketlimit) はメモリ消費を最小にするように低く設定されま
す。loader(8) を通して調整可能な読み込み専用変数です。
rexmtlimit 破棄される前に再送信される SYN,ACK の最大の回数です。デフォ
ルトの 3 回の再送信は 45 秒のタイムアウトに対応し、この値は
クライアントマシンへの RTT によって増加されるかもしれませ
ん。sysctl(3) を通して、調整可能な変数です。
count syncache (読み込み専用) に存在するエントリの数です。
syncache の性能における統計値は、次のカウントを提供する、netstat(1) を通
して取得されるかもしれません:
syncache entries added
syncache に成功して挿入されたエントリ。
retransmitted タイムアウトの期限切れが原因で SYN,ACK 再送信。
dupsyn 既存のエントリに一致する着信 SYN セグメント。
dropped SYN,ACK が送信できなかったので、落とされた SYN。
completed 接続は成功して完了。
bucket overflow エントリはバケットのサイズを越えるために落とされまし
た。
cache overflow エントリは全体的なキャッシュサイズを越えるために落とさ
れました。
reset RST セグメントは受信されました。
stale エントリは、最大の再送信または listen (接続を受け付け)
ソケット消失のために落とされました。
aborted 新しいソケット割り付けに失敗。
badack エントリは悪い ACK 返答のために落とされます。
unreach エントリは ICMP 到達不可能メッセージのために落とされま
す。
zone failures 新しい syncache エントリの割り付けに失敗。
cookies received ACK を含むセグメントから作成された接続。
関連項目
netstat(1), tcp(4), loader(8), sysctl(8)
歴史
既存の syncache 実装は FreeBSD 4.5 ではじめて登場しました。syncache のオ
リジナルの概念は、BSD/OS で元々登場し、後で NetBSD によって変更され、次に
ここでさらに拡張されました。
作者
syncache コードとマニュアルページは Jonathan Lemon <jlemon@FreeBSD.org>
によって書かれました。
FreeBSD 11.2 January 22, 2008 FreeBSD 11.2