[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: flood protect

Dear Matvey,

> >  >> задачи не стоит, поэтому читать я читал, но не более того.  По п. 1 для
> >  >> начала нехило бы рассказать, что это за проверка, аналогичную которой
> >  >> надо делать, почему не надо копать в сторону кук, а главное - что,
> >  >> собственно, за задача решается - вполне возможно, тут она решается
> >  >> другим способом.
> > 
> >  MG> tcp syn proxy проверка валидности (досягаемости начального узла /
> >  MG> инструмент при проверке на спуф).
> > 
> > Не понял...  Насколько я представляю себе устройство современных NAT'ов,
> > если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
> > досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
> > SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
> > чего-нибудь-unreacheable, TCP RST или вообще проигнорируют.  Причем
> > отправить SYN+ACK может только тот сервис, который там висит - у
> > файрвола этот номер не пройдет.
> 
> ууу как все запущено.
> вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и после этого 
> (случае успеха) установить сессию к сервису и сбросить ее в стейт. 

Я правильно помню, что PF работает в userspace?
Тогда чем он защищеннее самого атакуемого сервиса?
Да и на больших объемах userspace файрволлы идут в сад...

-- 
With best regards,
Vladyslav Solopchenko
Reply to: