moznosti ochrany voci DDOS

Dan Lukes dan at obluda.cz
Wed Sep 1 21:45:30 CEST 2004


Stanislav Zaris wrote:
> Osobne som si myslel, ze ked je nejaky stale rovnaky par megabitovy DDoS na
> web typu GET /daco.gif , ze moze byt "riesenie" typu iptables -m string
> omnoho vyhodnejsie co sa tyka zataze servera, ale mozno sa mylim, preto som
> sa na to pytal. Zaujimali by ma realne porovnania takehoto resenia,

	Muj osobni nazor je, ze neni vyhodnejsi. V tomto pripade ale navic
nejspis neni vubec potreba ani aplikacni proxy.

	WWW port (port 80) mam dovnitr site otevreny samozrejm ejen na ten
stroj, ktery je WWW serverem. To zajisti bezny paketovy filtr na
hranicnim routeru ci firewallu.

	Odmitani konkretnich pozadavku zajisti uz primo WWW server, pricemz ho
to nestoji o mic vetsi vykon nez by stalo prohlizeni paketu paketovy
filtr - a ten by, navic, prihlizel vsechny pakety, tedy daleko vetsi pocet.

	Oboji reseni je nizkorozpoctove, prvni je ale vysoce ucinne, zatimco to
druhe je daleko mene bezpecne aniz by to prvni bylo vyrazne procesorove
narocnejsi.

	To neznamena, ze nemuze existovat nejaky zcela konkretni typ utoku, u
ktereho by filtrovani na soto ve vrstve nebylo stejne ucinne - ale za
zadnych okolnosti se mi to nejevi ucinnejsi ani lacinejsi ...

	Pripoustim, ze nazory na tuto vec se mohou u ruznych lidi ruznit.

						Dan


-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz



More information about the Users-l mailing list