Jak zabranit pretizeni SMTP serveru
Veros Kaplan
veros-XXXX na tac.cz
Pátek Prosinec 5 11:25:03 CET 2003
Honza Houstek wrote/napsal:
: On Thu, 4 Dec 2003, Tomáš Janoušek wrote:
:
: > > Mam namysli napr. v IPTABLES omezit pocet pripojeni v casovem
: > > intervalu z jedne IP adresy.
: > V casovem intervalu by to melo jit normalne matchem na pakety s
: > priznakem SYN a pouzitim -m limit.
:
: Tohle je asi lepsi delat az na urovni tcp serveru. Napr. tcpserver z
: ucspi-tcp baliku, ktery se casto pouziva s qmailem, ma jako jednu z voleb
:
: -c n: Do not handle more than n simultaneous connections. If there are n
: simultaneous copies of prog running, defer acceptance of a new
: connection until one copy finishes. n must be a positive integer.
: Default: 40.
:
:
: Skoro se mi tohle reseni zda v necem lepsi, nez aby SMTP daemon spojeni
: sice prijal, ale pri velke zatezi odpovedel nejakou docasnou chybou.
: Takhle to zatizeny pocitac stoji mene prace a efekt je podobny. Je
: to ale odolnejsi proti ruznym DoS utokum. I kdyz reseni na urovni SMTP
: demona ma take sve vyhody.
Udělám Vám DOS tak, že se připojím na 40 SMTP spojení a nebudu nic
posílat (či co minutu NOOP - při standardním qmail-smtpd, který má
timeout při neaktivitě spojení 20 minut)
To je IMHO poněkud nešťastná vlastnost. Ale patchovat ucspi-tcp se mi
(zatím) moc nechce i když jednoduchý patch by to řešil.
S tím, že je lepší odmítnout spojení, než oznámit "teď fakt nemůžu"
souhlasím.
S pozdravem
Věroš Kaplan
--
Věroš Kaplan <veros @ tac . cz>
system disaster
Tacoma Computers, Staňkova 18a, Brno, CZ http://www.tac.cz/
--
Názory v tomto mailu uvedené jsou moje vlastní a nemusí se shodovat
s názory mého zaměstnavatele.
--
"Vyrábíme Kleinovy láhve. Objednávky přijímáme uvnitř."
Další informace o konferenci Linux