moznosti ochrany voci DDOS

Divacky Roman xdivac02 at stud.fit.vutbr.cz
Wed Sep 1 17:26:53 CEST 2004


On Tue, Aug 31, 2004 at 10:07:08PM +0200, Dan Lukes wrote:
> Divacky Roman wrote:
> 
> >>>>Este by ma zaujimalo ci existuje obdoba iptables -m string 
> >>>>--string "daco" v ipfw, ipfw2, ipf.
> 
> >>Ups, sorry, zdalo sa mi to jasne. Je to hrubo povedane matchovanie paketov
> >>podla stringov, zvacsa sa to pouziva na blokovanie M$ cervikov "cmd.exe",
> >>p2p, ...
> 
> > tohle nekdo dela na sitove vrstve??? huh... drsne
> 
> 	iptables to skutecne na sitove vrstve delaji.
> 
> 	Jenze jde o test znacne nespolehlivy (na TCP neni nic jednodussiho, nez
> retezec poslat ve dvou paketech - nebo treba kazde pismenko ve zvlastnim
> paketu). Na sitove vrstve je tedy neco takoveho delat celkem nerozumne.
> 
> 	Tato uloha se spravne resi na vrstve aplikacni - a aplikacni proxyny na
> FreeBSD existuji - napriklad SQUID.
 
coz je duvod meho citoslovce "drsneeee"
 
> >>Pravdu povediac, som ocakaval nejaky link na nejaky sumar tipov co nastavit
> >>cez sysctl, nieco s dummynet-om, zazracny patch do kernelu alebo pod., ale
> >>pozriem aj man :-)



More information about the Users-l mailing list