Obrana proti floodu

Vasek Stodulka xvasek na gmail.com
Čtvrtek Leden 27 08:17:09 CET 2005


On Wed, 26 Jan 2005 20:02:08 GMT, Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:

>  On Tue, 25 Jan 2005, Damir Špoljarič wrote:
> 
> > Mel jsem na mysli klasicky flood ping - icmp.
> 
>  To zalezi na tom, jak je intenzivni. Pokud dost na to, aby ucpal primo
>  uplink (pokud mate neco slabsiho nez 100 Mbps, tak to dokaze celkem snadno
>  udelat i jediny zly pocitac s tlustou trubkou), tak je uplne jedno, co
>  s temi pakety budete na svem pocitaci provadet. Overeno experimentalne. ;)

	Mam jinou zkusenost. Kdyz jsem mel server pod DDOSem, mel jsem
nastaveny firewall tak, aby daval ICMP reject na uzavrenych portech. Neslo
se na nej pak vubec prihlasit. Musel jsem zmenit politiku na drop a uz to
bylo lepsi - fungovalo ssh a dalsi sluzby. Doresil jsem to pak domluvou s
providerem, kteremu jsem vysvetlil, ze zadne packety na inkriminovany port
nechci.

	BTW: Toto je duvod, proc bych si nekoupil linku s pevnou IP placenou
podle objemu dat. Pokud nemam pevnou IP, staci restartovat modem a jsem z
toho venku (+ jeste ze slusnosti informovat providera), s pevnou IP bych si
pekne priplatil.

-- 
Vašek Stodůlka
tel.: +420 608 200 860


Další informace o konferenci Linux