moznosti ochrany voci DDOS
Divacky Roman
xdivac02 at stud.fit.vutbr.cz
Wed Sep 1 17:26:53 CEST 2004
On Tue, Aug 31, 2004 at 10:07:08PM +0200, Dan Lukes wrote:
> Divacky Roman wrote:
>
> >>>>Este by ma zaujimalo ci existuje obdoba iptables -m string
> >>>>--string "daco" v ipfw, ipfw2, ipf.
>
> >>Ups, sorry, zdalo sa mi to jasne. Je to hrubo povedane matchovanie paketov
> >>podla stringov, zvacsa sa to pouziva na blokovanie M$ cervikov "cmd.exe",
> >>p2p, ...
>
> > tohle nekdo dela na sitove vrstve??? huh... drsne
>
> iptables to skutecne na sitove vrstve delaji.
>
> Jenze jde o test znacne nespolehlivy (na TCP neni nic jednodussiho, nez
> retezec poslat ve dvou paketech - nebo treba kazde pismenko ve zvlastnim
> paketu). Na sitove vrstve je tedy neco takoveho delat celkem nerozumne.
>
> Tato uloha se spravne resi na vrstve aplikacni - a aplikacni proxyny na
> FreeBSD existuji - napriklad SQUID.
coz je duvod meho citoslovce "drsneeee"
> >>Pravdu povediac, som ocakaval nejaky link na nejaky sumar tipov co nastavit
> >>cez sysctl, nieco s dummynet-om, zazracny patch do kernelu alebo pod., ale
> >>pozriem aj man :-)
More information about the Users-l
mailing list