Jak zabranit pretizeni SMTP serveru

[Veros Kaplan]

Honza Houstek wrote/napsal:
: On Thu, 4 Dec 2003, Tomáš Janoušek wrote:
: 
: > > Mam namysli napr. v IPTABLES omezit pocet pripojeni v casovem
: > > intervalu z jedne IP adresy.
: > V casovem intervalu by to melo jit normalne matchem na pakety s
: > priznakem SYN a pouzitim -m limit.
: 
: Tohle je asi lepsi delat az na urovni tcp serveru. Napr. tcpserver z
: ucspi-tcp baliku, ktery se casto pouziva s qmailem, ma jako jednu z voleb
: 
: -c n: Do not handle more than n simultaneous connections. If there are n
:       simultaneous copies of prog running, defer acceptance of a new
:       connection until one copy finishes. n must be a positive integer.
:       Default: 40.
:
:
: Skoro se mi tohle reseni zda v necem lepsi, nez aby SMTP daemon spojeni
: sice prijal, ale pri velke zatezi odpovedel nejakou docasnou chybou.
: Takhle to zatizeny pocitac stoji mene prace a efekt je podobny. Je
: to ale odolnejsi proti ruznym DoS utokum. I kdyz reseni na urovni SMTP
: demona ma take sve vyhody.

   Udělám Vám DOS tak, že se připojím na 40 SMTP spojení a nebudu nic
posílat (či co minutu NOOP - při standardním qmail-smtpd, který má
timeout při neaktivitě spojení 20 minut)

   To je IMHO poněkud nešťastná vlastnost. Ale patchovat ucspi-tcp se mi
(zatím) moc nechce i když jednoduchý patch by to řešil.

   S tím, že je lepší odmítnout spojení, než oznámit "teď fakt nemůžu"
souhlasím.

 S pozdravem

Věroš Kaplan
--
Věroš Kaplan <veros @ tac . cz>
system disaster 
Tacoma Computers, Staňkova 18a, Brno, CZ                http://www.tac.cz/
--
 Názory v tomto mailu uvedené jsou moje vlastní a nemusí se shodovat 
 s názory mého zaměstnavatele.
--
"Vyrábíme Kleinovy láhve. Objednávky přijímáme uvnitř."