moznosti ochrany voci DDOS

Dan Lukes dan at obluda.cz
Wed Sep 1 00:10:29 CEST 2004


Stanislav Zaris wrote:

>>Jinak ale, pokdu trvate na reseni na sitove vrstve, neni problem si
>>neco takoveho napsat. Pomoci "divert"  lze pakety "zapujcit" aplikacni
>>vrstve, kde si s nimi muzete delat jaka kouzla chcete a jen podle sveho
>>uvazeni nektere jadru vratit, kdezto jine ne. Jestli ale existuje port s
>>pozadovanou funkcionalitou nebo ne a budete si to muset napsat sam (je
>>to odhadem na dvacet radek), to nevim.
> 
> 
> Presne toto som si chcel pozriet, keby bolo hotove, ale nic sa mi nepodarilo
> vyguglit.
> Jedine co ma napadlo, popozerat zdrojaky natd, ale to nie je na 20 riadkov.

	To sice nikoliv, ale znacna cast "natd" je parsovani konfigurace  a
logika vlastniho zpracovani paketu, coz je oboji pomerne slozite. Nas
pritom zajima jen "jak paket ziskat z divert portu" a "jak ho tam
vratit". Mezitim pochopitelne zjistime (pomoci strchr) zda se v paketu
nachazi hledany retezec.

Jak paket ziskat i jak vratit natd.c obsahuje. Otevreni socketu resi
radky 207-225, cteni paketu se resi na radcich 463-481, zpetny zapis
567-577.

	Dobre, neni to dvacet radek, je to cca 50 radek - ale i tak trvam na
tom, ze nic sloziteho. Pokud jste uz nekdy psal jakykoliv sitovy server,
takze umite pracovat s funkcemi sitoveho rozhrani, pak to musi byt
otazka nejvyse pul hodiny, nez to (s nahlednutim do zdrojaku NATDu)
napraskate a odladite ...

						Dan


-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz



More information about the Users-l mailing list