On Wed, Sep 24, 2003 at 05:35:41PM +0300, Sergey Babitch wrote:
Для достижения цели DoS атаки не важно пустили тебя или нет. При коннекте на порт пускается (или отфоркивается) еще один процесс который жрет системный ресурс (пишет в лог, занимает процессор размышлениями, etc.). Вот эти процессы и поднимают LA, при достижении которым величины 16 блокируется сервис для всех.
Тут есть вариант - отрабатывать всякие acl до того, как fork(). Это конечно, не всюду подходит, но я так делал - хотя цель была чуть другая (lightweight http proxy+bannercutter for win32/cygwin).
Единственное спасение - отстрелить firewall-ом, т.е. не дать запуститься большому количеству процессов и не поднять LA до критической величины. Может тогда разделить сервис немного: tcp proxy с acl'ами всякими и начальной обработкой соединения (сказать здрасьте и подождать ответ, далее пустить)--> real news server. Единственный недостаток такого - логи news-сервера станут бесполезными почти (если не хакать news-server).
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message