а оно причём тут? Я имел ввиду, установлено соединение, трафика кроме служебного( типо кип алив) нет, вот такие закрывать скажем после 30 секунд отсутствия активности
это да, современные маршрутизаторы сами умеют закрывать неактивные сессии, чтобы освободить место в таблице маршрутизации, я имел ввиду именно на уровне приложения или на уровне ОС
если таковые имеют место, то долгие сессии это норма и такая проблема не стоит по определению, так как для shh сессии нужна аутентификация как я понимаю, а без неё можно сбрасывать соединения.
Судя по всему у товарища есть софт, который не умеет делать прибивать соединения без сетевой активности. ИМХО, tcpkill самый безопасный способ решить проблему. Пишем скрипт на баше, который чекает netstat + grep по порту, а потом tcpkill. А то, что предложил beastie может убивать соединения даже на 127.0.0.1, типа mysql, php-fpm и т.п. и т.д. SSH как бы не самое страшное :)
да нет у меня такого софта, кстати я пока не сталкивался с ситуацией когда нужно явно прибивать такие соединения. если кто-то хочет сделать такой флуд, то ставим параметр TCP_DEFER_ACCEPT, если он прислал неверные данные то закрываем, если ничего не прислал то как только будет заполнена очередь такими соединениями то такое левое соединение будет вытеснено, тоже можно очень просто реализовать без TCP_DEFER_ACCEPT на прикладном уровне, так что расскажите ситуации в которых можно эффективно флудить таким образом :)
Тогда не надо писать «на уровне tcp/ip», а надо рассказывать, какой конкретно протокол ты хочешь вскрывать и какими средствами собрался убивать сессию.
А как ты хотел? До дома нужно ж ещё добраться. Во вменяемом состоянии. Не в плане трезвым или пьяным, а в задолбанном состоянии или свеженьким. Работа системщика, она такая, полна опасностей и суеты =)
upd: но Стивенс, ЕМНИП, готовых сценариев защиты от ДиДоС-атак не даёт. Какие-то намёки на готовые сценарии мне попадались в другой книжке. Она тоже у меня есть. Если не выкинул. Когда-то интересовался всей этой фигнёй.
Deleted ()
Последнее исправление: rht
(всего
исправлений: 2)