Limit paketu per zdrojova IP a SYN flood
Dan Lukes
dan at obluda.cz
Sun Jan 15 14:20:05 CET 2017
On 15.1.2017 9:39, Radek Krejča wrote:
> Jak resite na FBSD ochranu pres SYN floodem
S PF ti neporadim, spis pridam dotaz.
Vam se nejak castejc stava, ze mate problem s timhle typem utoku ?
Ja samozrejme vim co je to za utok, ale musim rict, ze jsem se s nim
snad jeste v praxi nepotkal. Nebo tak davno, ze uz si to ani nepamatuju.
To si nestezuju, ani se nevytahuju, jen je mi to proste divny.
To myslis, ze stves nejakou konkurenci az tak, ze si na tebe objednala
utok ?
Protoze druhy mozny vysvetleni je, ze utoky jsou necileny - pak ale
tezko cekat, ze se nasim sitim vyhejbaj. A pokud se nevyhejbaj, jakto,
ze to nase stroje ustojej bez nutnosti menit konfiguraci ?
Dobre, to jsou tak trochu spis akademicke otazky, takze zpatky k necemu
praktictejsimu.
Me az tak divny nepripadalo, ze s timhle potize nemame - SYN Cache
ochrana, ktera v jadre je se mi jevila dobre navrzena, takze jsme
predpokladal, ze se s utoky uspesne vyrovnava ona. Ale to porad
nevysvetluje, proc u tebe problem je a u nas nejsou.
Napadla me tedy kacirska myslenka - ze za tim je samo PF, ktere ja
nepouzivam. PF totiz pakety dostane driv nez jadro. A pokud je stavove,
tak je otazka, kdy si pro nove spojeni alokuje "stavovou informaci" a
jak se ono samo s takovym utokem vyrovnava. Tedy, hypoteza je, ze s
utokem nema problem jadro, ale PF.
Jak u tebe vypada vypis
sysctl -a net.inet.tcp.syncache
?
Dan
More information about the Users-l
mailing list