On Mon, Oct 15, 2007 at 07:18:09PM +0400, Alexandre Snarskii writes:
Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто.
AS> Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. AS> Возможно, syncache/syncookies действительно эффективны ? Они не везде есть. Да и это не панацея, насколько я понимаю. У циски для защиты от синфлуда есть фича tcp intercept - очень эффективное средство убить роутер, пытаясь защитить сервис. :) Я тоже не понимаю, почему сейчас синфлуды встречаются гораздо реже, чем udp, хотя они явно более эффективны, и подставить fake source там не сложнее (в общем, даже udp-флуды в большинстве идут с честными source ip). Наверное, это вызвано просто особенностями распространённого среди хакеров софта или реализацией генерирующих DDoS троянов. :) Хотя, возможно, что поток исходящих от клиента syn-пакетов или icmp более заметен, чем udp, и такие источники быстрее прикрывают. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message