[Pluto-security] DOS attack

Dido dido@sicurweb.com
Wed, 11 Sep 2002 18:24:19 +0000


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Piccola parentesi, netfilter _opera_proprio_ a livello kernel! Per farci 
capire, _è_ il kernel, non un sw che si appoggia sullo stack tcp!

Oggi ero a una conferenza, domani dal lavoro ti passo un po' di script cbq, 
magari risolvi...
Dido


On Wednesday 11 September 2002 15:07, Filippo Basso wrote:
> > >> Se usi netfilter puoi sfruttare la facility di limitazione del rate
> > >> delle connessioni (-syn -m limit -limit <n. conn>/s -J ACCEPT).
> > >
> > >connessioni al secondo), ma deve essere fatto _PER_IP_SORGENTE_
> > > altrimenti comunque il tipo mi impedisce altre connessioni al webserver
> > > (con tutti i domini virtuali su quell'IP), semplicemente raggiungendo
> > > lui stesso il limite... sigh!
> >
> > Scusa, ho scritto solo la parte di opzioni che serviva ad esemplificare
> > l'uso di limit. Puoi usare anche -s -d ecc. per applcare la regola solo
> > al traffico che corrisponde alle tue esigenze. Sugli howto di netfilter
> > trovi tutto.
>
> no, grazie mille, solo che non pensavo che si potesse fare...
> cioè, a me interessa praticamente che il kernel (o chi per lui) non lasci
> connettere (o transitare) più di x volte al secondo
> _ogni_ip_esterno_in_maniera_separata_ , senza che io debba mettere delle
> catene per specificare ogni -s ed ogni -d (tutti gli IP possibili)... in
> breve si dovrebbe tenere una lista degli ip che hanno comunicato con lui
> negli ultimi x secondi, e non lasci, per ciascun IP separatamente, fare più
> di x connessioni al secondo, oppure usare un 40% di banda a regime, ma
> questo _separatamente_per_ogni_ip_che_chiama_ ... sarebbe buono modellare
> una coda che faccia questo lavoro, che lasci usare anche il 100% per,
> diciamo 10 secondi, e poi scali nel minuto fino a lasciar usare usare max
> un X% (da valutare, pensavo un 40%) della banda totale ad ogni IP...
> è già possibile fare questo ?!? se si, mi puoi passare un titolo di howto,
> od un URL ?!?
>
> sono stato un po' tanto contorto, sorry!!!
> Filippo

- -- 
- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9f4pTQe/GGXXd6zQRAjPoAJ9yZ2kN0vq2iVEYc+yMYKWV8Kf4NACgmhEt
kvlSJcKoiWcpuhaEkpOEits=
=m2+d
-----END PGP SIGNATURE-----