On Wed, Sep 24, 2003 at 05:12:44PM +0300, Sergey Babitch wrote:
Такой кошачий(?) фильтр, что ограничивает количество входящих пакетов с SYN_FLAG через внешнюю трубу до стольки-то штук в минуту для такого-то блока IP-адресов.
Это можно сделать и на unix-ном firewall-е.
я предпочел бы адаптивный фильтр - просто смотрит, в каком блоке сколько пакетов, и меняет threshold. Такой себе RAD с аггрегированием ;) то есть пока из блока X идет 5 или 10 syn/min - нормально; как только пришло 100 в минуту - сразу зарезать до 5 и подождать час.
И эта таблиза продолжает пополняться...
Опять же, тупо ограничить количество SYN-пакетов до 10 штук в минуту тоже несколько проблематично... Некоторые клиенты делают и больше... Например из-за NAT-а, или с того же webnews.lucky.net.
ну whitelist все равно может быть. Хотя проще всего именно мерять частоту для блоков. Некий такой ddosd ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message