LINUX.ORG.RU

SYN flooding


0

0

Из утонувшей темы...

1.
## SYN-FLOODING
iptables -N syn-flood
iptables -A INPUT -i $EXTIF -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j LOG \
--log-prefix "IPTABLES SYN-FLOOD:"
iptables -A syn-flood -j DROP

Строчка
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
значит, что надо пропустить пакет дальше, если лимиты не превышены?

2. ping of death актуален?

★★★★

Re: SYN flooding

1. эта строчка разрешает до одного соединения в секунду и устанавливает лимит одновременно установленных соединений в четыре.

значит, если у тебя постоянно подключаются и отцепляются два-три клиента с интервалом в несколько секунд - то все путем.

2. в данном примере - не актуален.

boatman ()
Ответ на: Re: SYN flooding от boatman

Re: SYN flooding

>и устанавливает лимит одновременно установленных соединений в четыре.

Значит на сайте, где постоянных пользователей около 100-400 постоянно, надо увеличить этот параметр где-то на 100-200? apache...

Selecter ★★★★ ()
Ответ на: Re: SYN flooding от Selecter

Re: SYN flooding

>и устанавливает лимит одновременно установленных соединений в четыре.

нет

Это значит что размер буфера задержки 4 пакета из этого буфера выбирается 1 пакет в секунду. Никакого отношения к количеству одновременно установленных соединений это не имеет.

Хороший пример: ведро размером в 4 пакета а в нем дырка через которую утекает 1 пакет в секунду (это accept) а все что льется в ведро из сети когда ведро уже наполненно "В САД"...

anonymous ()
Ответ на: Re: SYN flooding от anonymous

Re: SYN flooding

да, признаю, лопухнулся...

хорошее объяснение

P.S. Всех с Новым Годом! =)

boatman ()
Ответ на: Re: SYN flooding от boatman

Re: SYN flooding

>ping of death актуален?

Нет, пробовал завалить с 15-ти машин Athlon2000+/128RAM/Win2003interptice Server, даже заметных тормозов не было.

dronozavr ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.