Автор Тема: Флууд  (Прочетена 1793 пъти)

lubo55

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
Флууд
« -: Jul 16, 2010, 18:21 »
понеже до колкото знам могат да се флуудят портове как мога да спра този флууд използвам дистрибуция базирана на Debian
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Флууд
« Отговор #1 -: Jul 16, 2010, 18:28 »
Въпросът ти съдържа огромен отговор, така че просто ще ти кажа да започнеш да четеш ръководството на iptables в частта за действието му като защитна стена.
Гледай в следващите си постове да задаваш въпроси, на които може да се отговори без да се изписват цели ръководства ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

lubo55

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
Re: Флууд
« Отговор #2 -: Jul 16, 2010, 20:03 »
 :o преди ми даваха 1 команда за конзолата пиша я и край на флууда
Активен

Acho

  • Напреднали
  • *****
  • Публикации: 3536
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Флууд
« Отговор #3 -: Jul 16, 2010, 20:11 »
Ами поискай я отново вълшебната "команда за конзолата" и я постни и тук. Че и ние да я ползваме, щом е толкова велика и поставя край на флуда. Много хора ще са ти признателни Lubo55.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - SeaGate, 160 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: Флууд
« Отговор #4 -: Jul 16, 2010, 20:16 »
Абе я пробвай дали не е тази:
Код:
sudo apt-get install flood_get_out_of_here
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

victim70

  • Напреднали
  • *****
  • Публикации: 454
  • Distribution: Gentoo, Ubuntu
  • Window Manager: Kde Xfce
    • Профил
Re: Флууд
« Отговор #5 -: Jul 16, 2010, 22:15 »
Ако питаш мене - няма отърване. Филтъра спира да да не влиза в компютъра към приложенията дето слушат, но по често вдига натоварването на процесора, като пакети си съществува и се обработва от компютъра тогава на 100% малко на по ниско ниво. Ако приложението 'слушалка' на този порт е читаво може да се получи че е по добре да не го спираш. Е поне по малко товари (визирам ssh услугата, изключвам samba-та).
А ако нямаш слушалка на порта дето те флудят - не прави нищо.
Активен

"Господи, дай ми сила да променя нещата които немога да приема,
дай ми търпение да приема нещата които не мога да променя,
и ми дай мъдрост, да правя разликата между двете"

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Флууд
« Отговор #6 -: Jul 16, 2010, 22:51 »
Винаги е по-добре да се филтрират, при това с DROP. Включително в случаят, когато няма приложение което си е bind-нало listening socket на тоя порт. Там логиката е проста - за всеки TCP пакет който пристигне на този порт, TCP стека на машината ще върне RST, за да уведоми изпращащия че връзката е отказана. Така че просто увеличаваш трафика с 60-тина байта за всеки пакет, който получиш, за да върнеш RST отговора.

Когато слухти нещо, зависи разбира се как е написано, но дори да си имат нормален лимит на backlog-а и да има нормален лимит на броя на accept-натите връзки и да не разхищава особено много ресурси на връзка, пак е същото - само дето ще отговаряш със SYN-ACK пакет, вместо с RST и пак ще увеличаваш трафика. Ядрото хаби памет да ти пази skbuff-овете, които са асоцирани със сокета. Ако имаш connection tracking, съответно още памет се хаби за да се пазят новите "връзки" в conntrack  таблицата. И процесорната утилизация скача, макар че това много зависи от много фактори, но при всички положения - повече, отколкото ако просто дроп-ваш пакетите.

Така че дроп-ването на пакети е последното нещо, което можеш да направиш от гледна точка на хоста. Оттам нататък, нищо повече не можеш да направиш.
Активен

"Knowledge is power" - France is Bacon

victim70

  • Напреднали
  • *****
  • Публикации: 454
  • Distribution: Gentoo, Ubuntu
  • Window Manager: Kde Xfce
    • Профил
Re: Флууд
« Отговор #7 -: Jul 17, 2010, 13:19 »
Съгласен ако е генерирано от приложение (б..ти писача е бил). В повечето случаи флуда е от злонамерен софтуер, който  не се интересува от RST отговора. Просто пробва дали ще строши нещо (най-често е от червяци правят флудове)
Активен

"Господи, дай ми сила да променя нещата които немога да приема,
дай ми търпение да приема нещата които не мога да променя,
и ми дай мъдрост, да правя разликата между двете"