Limit paketu per zdrojova IP a SYN flood

[Dan Lukes]

On 15.1.2017 9:39, Radek Krejča wrote:
> Jak resite na FBSD ochranu pres SYN floodem

S PF ti neporadim, spis pridam dotaz.

Vam se nejak castejc stava, ze mate problem s timhle typem utoku ?

Ja samozrejme vim co je to za utok, ale musim rict, ze jsem se s nim 
snad jeste v praxi nepotkal. Nebo tak davno, ze uz si to ani nepamatuju.

To si nestezuju, ani se nevytahuju, jen je mi to proste divny.

To myslis, ze stves nejakou konkurenci az tak, ze si na tebe objednala 
utok ?

Protoze druhy mozny vysvetleni je, ze utoky jsou necileny - pak ale 
tezko cekat, ze se nasim sitim vyhejbaj. A pokud se nevyhejbaj, jakto, 
ze to nase stroje ustojej bez nutnosti menit konfiguraci ?

Dobre, to jsou tak trochu spis akademicke otazky, takze zpatky k necemu 
praktictejsimu.

Me az tak divny nepripadalo, ze s timhle potize nemame - SYN Cache 
ochrana, ktera v jadre je se mi jevila dobre navrzena, takze jsme 
predpokladal, ze se s utoky uspesne vyrovnava ona. Ale to porad 
nevysvetluje, proc u tebe problem je a u nas nejsou.

Napadla me tedy kacirska myslenka - ze za tim je samo PF, ktere ja 
nepouzivam. PF totiz pakety dostane driv nez jadro. A pokud je stavove, 
tak je otazka, kdy si pro nove spojeni alokuje "stavovou informaci" a 
jak se ono samo s takovym utokem vyrovnava. Tedy, hypoteza je, ze s 
utokem nema problem jadro, ale PF.

Jak u tebe vypada vypis

sysctl -a net.inet.tcp.syncache

?

Dan