[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: flood protect

Artem Chuprina wrote:


MG> tcp syn proxy проверка валидности (досягаемости начального узла /
MG> инструмент при проверке на спуф).

Не понял...  Насколько я представляю себе устройство современных NAT'ов,
если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
чего-нибудь-unreacheable, TCP RST или вообще проигнорируют.  Причем
отправить SYN+ACK может только тот сервис, который там висит - у
файрвола этот номер не пройдет.
я специально посмотрел - единственное правильное, что сказал однофамилец джона. в openbsd pf действиттельно может принимать соединения и отдавать их дальше только после установки соединения.
в принципе интересно, хотя проц должно грузить - но всё равно производительнее будет, чем аналогичное userspace решение. с другой стороны непонятно чем syncookies не нравится - при хорошем флуде syn-пакетами сервер будет работать в общем-то нормально, а synproxy съест процессор и устроит dos.
Reply to: