Opet SYN flooding

Středa Květen 19 16:55:20 CEST 1999

On Wed, 19 May 1999, Michal Krause wrote:
> > Mozna je to hloupa poznamka a neni ten trafik opravdu tak velky, ze
> > to pusobi timto dojmem? pokud je to navrcholu.cz az tak
> > moc by me to neprekvapovalo :-)
> 
> Hm. To me nenapadlo :(. Jenze jak to zjistit?

Zacal bych tim, ze bych se podival jake cislo vrati
netstat -ant|wc :)
a jake netstat -ant|grep SYN|wc

Jak se to vubec projevuje jinak? 
Jak dlouho trva treba telnet localhost dany_port?
Muzes vyzkouset treba to, ze sluzbu na danem portu rozbehnes na 
dvou rozdilnych IP adresach (s tim, ze v DNS bude receno, ze
dane jmeno ma tyto 2 IP)??

> Kdy presne kernel zaloguje SYN flood? Co je to za IP adresu, ktera se zapise
> do logu? Ta posledni, pri ktere se buffer zaplnil? Bylo by v tomto pripade

Nekdy driv jsem se na to dival do jadra, ale uz si to nepamatuji.
Je to jen kousek kodu, zkus se na nej podivat (/usr/src/linux/net/ipv4/*?)

> mozne, ze se v logu objevuji zaznamy o SYN floodech s zeleznou pravidelnosti
> jedne minuty? 

ano

> Je pravda, ze casove obdobi, ve kterem se utoky stupnuji zhruba odpovida dobe
> nejvetsiho pouzivani Inetu (cca od 8:00 do 17:00) a tedy i nejvetsiho naporu
> na Navrcholu, ale to muze zrovna tak znamenat, ze ten, kdo to dela odchazi z
> prace domu :)

I to to muze znamenat :-)

> S pozdravem
> 
> Michal Krause                                                      /\

--

S pozdravem
   Petr Snajdr

Seznam Ceskeho Internetu: http://www.seznam.cz/
Magazin pro kazdeho: http://www.novinky.cz/
Seznam Dnes: http://dnes.seznam.cz/
Navody, recenze, technika: 
http://www.novinky.cz/Index/TechDesk/ 