Jak zabranit pretizeni SMTP serveru
Honza Houstek
houstek-lists na utf.mff.cuni.cz
Pátek Prosinec 5 05:18:30 CET 2003
On Thu, 4 Dec 2003, Tomáš Janoušek wrote:
> > Mam namysli napr. v IPTABLES omezit pocet pripojeni v casovem
> > intervalu z jedne IP adresy.
> V casovem intervalu by to melo jit normalne matchem na pakety s
> priznakem SYN a pouzitim -m limit.
Tohle je asi lepsi delat az na urovni tcp serveru. Napr. tcpserver z
ucspi-tcp baliku, ktery se casto pouziva s qmailem, ma jako jednu z voleb
-c n: Do not handle more than n simultaneous connections. If there are n
simultaneous copies of prog running, defer acceptance of a new
connection until one copy finishes. n must be a positive integer.
Default: 40.
Skoro se mi tohle reseni zda v necem lepsi, nez aby SMTP daemon spojeni
sice prijal, ale pri velke zatezi odpovedel nejakou docasnou chybou.
Takhle to zatizeny pocitac stoji mene prace a efekt je podobny. Je
to ale odolnejsi proti ruznym DoS utokum. I kdyz reseni na urovni SMTP
demona ma take sve vyhody.
-- Honza Houstek
Další informace o konferenci Linux