IPTABLES

Jirka Kosina jikos na jikos.cz
Čtvrtek Říjen 30 13:41:44 CET 2003


On Thu, 30 Oct 2003 volesak na aristia.cz wrote:

> > Ono tech kontrovzerznich veci v tom serialu na rootu bylo ponekud vic
> > - osobne se domnivam, ze skutecne nema cenu provadet :jakoukoliv
> > filtraci v chainu OUTPUT (mezi dalsi kontroverzni vec v tomto clanku
> > bych bez vahani zaradil omezovani poctu :prijatych SYN packetu za
> > vterinu pomoci --limit).  :Pravdepobone toto pravidlo ma znemoznit aby
> > nekdo odesilal zevnitr site packety z falsovanou zdrojovou IP adresou.
> Omezeni prijatych SYN paketu je podle mne dost dulezite v okemziku, kdy na
> vas nekdo hodla provadet SYN flooding, scan ci DoS, ne? Pro falesne IP je

To je ovsem ponekud nestastne reseni - protoze urcit hranici kdy to jeste
neni DoS a kdy uz je, je magie a v dusledku to typicky dopadne tak, ze se
zacnou v urcitou chvili (v okamziku nejake "spicky", kdy budou prichazet
legitmni pozadavky, ale bude jich kratkodobe hodne) zahazovat legitimni
SYN packety, ktere budou chtit zahajit spojeni ... a dojde vpodstate k
jakemusi "inverznimu" DoSu - server bude fungovat vporadku, ale bude
zahazovat packety od klientu, takze pro ne to bude vypadat jako ze je
sluzba nedostupna.

Jedinym rozumnym resenim tohoto problemu se mi v soucasne dobe zdaji byt 
syncookies, ale v zadnem pripade omezovani poctu SYN packetu za jednotku 
casu.

-- 
JiKos.


Další informace o konferenci Linux