Limiting closed port RST

Pav Lucistnik pav at oook.cz
Tue Feb 4 13:10:23 CET 2003


On út, 2003-02-04 at 12:58, Dan Lukes wrote:

> >>>Prosimvas co znamena tohle v mem logu?
> >>>
> >>>Feb  3 10:41:02 vilik /kernel: Limiting closed port RST response from
> 
> >>Mas hodne pokusu o spojeni na port, kde nic neposloucha. Zrejme ti nekdo
> >>docela nevybirave scanuje porty. Jadro neposle zpatky vic nez 200 RST
> >>paketu za vterinu, chrani se tak pred utoky a setri ti kapacitu linky.
> 
> > Dekuji za vysvetleni.
> > 1) Da se tomu nejak branit? Nejak to zamezit aby mi nikdo nemohl skenovat
> > porty?
> 
> 	No, dost tezko - jak zastavit prichazejici packet pred tim, nez skrz 
> linku prijde ?

Presne tak, tezko. Obvykle se to resi domluvou s ISP ktery omezi provoz
na svych routerech. (Ale to opravdu jen pokud je to masivni utok.)

A navic, co je tak spatneho na tom, ze vam nekdo scanuje porty? Se mate
za co stydet nebo co? :) Na tom neni nic nelegalniho.

> > 2) Jak v IPFW bloknout nejakou IP adresu? Aby ten kdo to skenuje byl
> > bloklej?

Ten paket se vzdycky dostanes az do tveho pocitace, muzes jenom ridit
odezvu...

> > 3) Otazka mimo. Da se nejak omezit maximalni pocet requestů na nejaky
> > port?domenu?web?
> 
> 	Obecne (tedy nastavenim systemu) nikoliv. Nektere veci lze omezit v 
> inetd (pokud je aplikace spoustena jim) jinak je to vec aplikace.

Presne tak. Jeste doplnim, ze u Apache je velmi zajimavy mod_throttle
...

-- 
Pav Lucistnik <pav at oook.cz>
May your arrow always find its mark.




More information about the Users-l mailing list