Re: flood protect
Matvey Gladkikh -> Artem Chuprina @ Mon, 16 Oct 2006 23:25:07 +0400:
>> По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в
>> ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком
MG> Господин Артем Барщевский, мы играем в рамках правил :)
MG> патчи не принимаются. особенно в критический момент и с
MG> "works for me".
А на табличке голосом Куковлева написано: "ТЫ НЕВНИМАТЕЛЕН". Если
"вкручивают мейнтейнеры", то в дистрибутиве оно уже есть, и пересобирать
ничего не надо.
>> задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для
>> начала нехило бы рассказать, что это за проверка, аналогичную которой
>> надо делать, почему не надо копать в сторону кук, а главное - что,
>> собственно, за задача решается - вполне возможно, тут она решается
>> другим способом.
MG> tcp syn proxy проверка валидности (досягаемости начального узла /
MG> инструмент при проверке на спуф).
Не понял... Насколько я представляю себе устройство современных NAT'ов,
если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем
отправить SYN+ACK может только тот сервис, который там висит - у
файрвола этот номер не пройдет.
Видимо, в двух средних случаях можно какое-то _непродолжительное_ время
поигнорировать пакеты с этого хоста. Но как это спасает от тех же 200
TCP SYN в секунду, я не очень понимаю.
MG> P.S. еше масса фич которые можно спросить начиная от фингерпринтов
MG> и заканчивая регулярками в отношении к правилам.
Регулярки - это кто? Регулярные выражения?
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Нужны две программы - одна с интерфейсом, а другая чтобы работу делала.
Victor Wagner в <aut24i$gct$1@wagner.wagner.home>
Reply to: