Правильно ли я понимаю

embryonic-conn-max – это общее ограничение на полуоткрытые сессии. Не на конкретный хост, а на все которые у нас есть.. т.е. если у нас 500 сайтов работающих по 80 порту, то 10000 делиться на все 500 сайтов. Так?

per-client-embryonic-max – это количество полуоткрытых сессий с хоста инициатора на все хосты? Написано, что трафик не будет блокироваться полностью.. а аса включит механизм syn cookie и начнет рассылать ACK вместо хоста и если получит SYN ACK то соединение установиться. Т.е. мы получаем исходящий от нас трафик на спуфед адреса, часть из них отвечает даже и нам в обратку прилетают RST.

Мы пытались эмитировать атаку syn flood на один наш хост с кучи фейковых адресов по 80 порту.

В полиси видим такую картину.. запросов было гораздо больше чем 10000, но счетчики показывают такие значения.

Interface OUTSIDE:

  Service-policy: CONNECTION

    Class-map: CONNECTION

      Set connection policy: embryonic-conn-max 10000 per-client-embryonic-max 1000

        current embryonic conns 4498, current conns 5541, drop 0

      Set connection timeout policy:

        embryonic 0:00:11

        DCD: disabled, retry-interval 0:00:15, max-retries 5

        DCD: client-probe 0, server-probe 0, conn-expiration 0

Дропов нет. ЦПУ при этом подгружается до 50%.