Re: iptables and tcpdump
Stanislav Maslovski <stanislav.maslovski@gmail.com> wrote:
> On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
>> On Sun, Sep 27, 2009 at 02:32:14PM +0000, Sydoruk Yaroslav wrote:
>> > 3. нужно блокать такие syn пакет у которых например offset=0.
>>
>> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
>
> На всякий случай уточняю:
>
> --protocol tcp --syn --match u32 --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
>
> Ну и хотелось бы узнать еще, зачем Ярославу это надо.
>
Идет syn-flood до 20-100 тыс запросов в секунду.
В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные
(отсутствие timestamp и так далее)
Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb
--
Only one 0_o
Reply to: