|
Титла: Флууд Публикувано от: lubo55 в Jul 16, 2010, 18:21 понеже до колкото знам могат да се флуудят портове как мога да спра този флууд използвам дистрибуция базирана на Debian
Титла: Re: Флууд Публикувано от: neter в Jul 16, 2010, 18:28 Въпросът ти съдържа огромен отговор, така че просто ще ти кажа да започнеш да четеш ръководството на iptables в частта за действието му като защитна стена.
Гледай в следващите си постове да задаваш въпроси, на които може да се отговори без да се изписват цели ръководства ;) Титла: Re: Флууд Публикувано от: lubo55 в Jul 16, 2010, 20:03 :o преди ми даваха 1 команда за конзолата пиша я и край на флууда
Титла: Re: Флууд Публикувано от: Acho в Jul 16, 2010, 20:11 Ами поискай я отново вълшебната "команда за конзолата" и я постни и тук. Че и ние да я ползваме, щом е толкова велика и поставя край на флуда. Много хора ще са ти признателни Lubo55.
Титла: Re: Флууд Публикувано от: b2l в Jul 16, 2010, 20:16 Абе я пробвай дали не е тази:
Код: sudo apt-get install flood_get_out_of_here Титла: Re: Флууд Публикувано от: victim70 в Jul 16, 2010, 22:15 Ако питаш мене - няма отърване. Филтъра спира да да не влиза в компютъра към приложенията дето слушат, но по често вдига натоварването на процесора, като пакети си съществува и се обработва от компютъра тогава на 100% малко на по ниско ниво. Ако приложението 'слушалка' на този порт е читаво може да се получи че е по добре да не го спираш. Е поне по малко товари (визирам ssh услугата, изключвам samba-та).
А ако нямаш слушалка на порта дето те флудят - не прави нищо. Титла: Re: Флууд Публикувано от: gat3way в Jul 16, 2010, 22:51 Винаги е по-добре да се филтрират, при това с DROP. Включително в случаят, когато няма приложение което си е bind-нало listening socket на тоя порт. Там логиката е проста - за всеки TCP пакет който пристигне на този порт, TCP стека на машината ще върне RST, за да уведоми изпращащия че връзката е отказана. Така че просто увеличаваш трафика с 60-тина байта за всеки пакет, който получиш, за да върнеш RST отговора.
Когато слухти нещо, зависи разбира се как е написано, но дори да си имат нормален лимит на backlog-а и да има нормален лимит на броя на accept-натите връзки и да не разхищава особено много ресурси на връзка, пак е същото - само дето ще отговаряш със SYN-ACK пакет, вместо с RST и пак ще увеличаваш трафика. Ядрото хаби памет да ти пази skbuff-овете, които са асоцирани със сокета. Ако имаш connection tracking, съответно още памет се хаби за да се пазят новите "връзки" в conntrack таблицата. И процесорната утилизация скача, макар че това много зависи от много фактори, но при всички положения - повече, отколкото ако просто дроп-ваш пакетите. Така че дроп-ването на пакети е последното нещо, което можеш да направиш от гледна точка на хоста. Оттам нататък, нищо повече не можеш да направиш. Титла: Re: Флууд Публикувано от: victim70 в Jul 17, 2010, 13:19 Съгласен ако е генерирано от приложение (б..ти писача е бил). В повечето случаи флуда е от злонамерен софтуер, който не се интересува от RST отговора. Просто пробва дали ще строши нещо (най-често е от червяци правят флудове)
|