Re: flood protect
Dear Matvey,
> > >> задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для
> > >> начала нехило бы рассказать, что это за проверка, аналогичную которой
> > >> надо делать, почему не надо копать в сторону кук, а главное - что,
> > >> собственно, за задача решается - вполне возможно, тут она решается
> > >> другим способом.
> >
> > MG> tcp syn proxy проверка валидности (досягаемости начального узла /
> > MG> инструмент при проверке на спуф).
> >
> > Не понял... Насколько я представляю себе устройство современных NAT'ов,
> > если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
> > досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
> > SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
> > чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем
> > отправить SYN+ACK может только тот сервис, который там висит - у
> > файрвола этот номер не пройдет.
>
> ууу как все запущено.
> вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и после этого
> (случае успеха) установить сессию к сервису и сбросить ее в стейт.
Я правильно помню, что PF работает в userspace?
Тогда чем он защищеннее самого атакуемого сервиса?
Да и на больших объемах userspace файрволлы идут в сад...
--
With best regards,
Vladyslav Solopchenko
Reply to: