Vlákno názorů k článku Denial of Service útoky: reflektivní a zesilující typy od --==[FReeZ]==-- - Good job ! Ochrana proti temer libovolnemu floodingu spociva...

Good job !

Ochrana proti temer libovolnemu floodingu spociva ve vhodnem nastaveni iptables, dela se to pomoci limitu.

Napriklad si nastavim, ze mi mohou dorazit maximalne 3 icmp echo-reply packety za sekundu a ze zbytek se bude dropovat, bez zpetne odpovedi, ktera se standardne zasila a upozornuje server o nedoruceni. Tim umoznim korektni cinnost i v pripade, ze nekdo zacne floodovat z ruznych IP adres. Neni to samozrejme 100%ni, ale o nicem lepsim jsem zatim nezaslechl.

Takze vychozi politika IPTABLES bude DROP, co neni povolene, to je zakazane + limity na nejcasteji zneuzivane typy packetu, to je absolutni zaklad zabezpeceni serveru.

Toto je samozrejme nesmysl, flooding spociva v zahlceni linky, a tomu vy nemuzete jako uzivatel predejit. I kdyz nastavite iptables, tak bude vase linka zahlcena. Jedina obrana je u poskytovatele pripojeni. On musi tyto data zahazovat aby nesla linkou k vam. Takove technologie jiz nini jsou, ale tato problematika je dosti slozita.

nesmysl to v zadnem pripade neni, pokud bych byl ISP tak si timto zpusobem IPTABLES nastavim a je po floodingu, tato problematika je dosti jednoducha. Viz root.cz kde je detailne probirana konfigurace IPTABLES

Jenomze ty ISP nejsi a neni to tak jednoduchy. Floodovani neni jenom pomoci ICMP ale muzes posialt i TCP nebo UDP, a ISP ma na svi siti takovej fofr ze nema moznosti sledovat jestli jsou ty TCP pakety regulerni. A kdyz by mel tak tu je potom UDP u kteryho nema moznost posouzeni.

1. Nikde jsem nenapsal, ze flooding je pouze o ICMP, samozrejme ze neni !
2. Hned v prvnim komentari jsem napsal, ze ochrana pred floodingem neni 100%ni, kazdopadne kontrolovat regulernost TCP packetu do urcite miry lze a to pomoci kernelu.
3. zcela jiste vim, ze to, co jsem vyse napsal je pravdive, vyzkousene a v praxi pouzivane. Snazis se mi to vsak za kazdou cenu vyvratit, abys zde vypadal jako nejaky "master".

Mel by sis priznat, ze nevis vsechno, shodou nahod jsem si zrovna o ochrane pred DoS a floodingem nedavno precetl mnoho desitek stranek, jednak na hysteria.sk/prielom a druhak google.com -> linux kernel extensions

1. Nikde jsem nenapsal, ze flooding je pouze o ICMP, samozrejme ze neni !
2. Hned v prvnim komentari jsem napsal, ze ochrana pred floodingem neni 100%ni, kazdopadne kontrolovat regulernost TCP packetu do urcite miry lze a to pomoci kernelu.
3. zcela jiste vim, ze to, co jsem vyse napsal je pravdive, vyzkousene a v praxi pouzivane. Snazis se mi to vsak za kazdou cenu vyvratit, abys zde vypadal jako nejaky "master".

Mel by sis priznat, ze nevis vsechno, shodou nahod jsem si zrovna o ochrane pred DoS a floodingem nedavno precetl mnoho desitek stranek, jednak na hysteria.sk/prielom a druhak google.com -> linux kernel extensions