АП
vladimir tikalovich
Подскажите, как с помощью fail2ban на freebsd, используя IPFW , защититься от SYN flood атак. Сил нет руками отбиваться.
... вообще, если я не ошибаюсь, лет уже несколько как syn flood ядро не валит. syn cookie спасают
Size: a a a
2020 December 30
vt
... вообще, если я не ошибаюсь, лет уже несколько как syn flood ядро не валит. syn cookie спасают
Ядро не валит, а вот ЦП по прерываниям в полку уходит
АП
... а при чем тут файрвол? Он не спасет. Файрвол сработает уже ПОСЛЕ прерывания. То ли машина слабая, то ли враги злые, но переключайте интерфейс в поллинг
vt
... а при чем тут файрвол? Он не спасет. Файрвол сработает уже ПОСЛЕ прерывания. То ли машина слабая, то ли враги злые, но переключайте интерфейс в поллинг
Ну как то ведь можно ограничить количество соединений на открытый порт машины . За печенье спасибо, погуглю эту тему
АП
vladimir tikalovich
Ну как то ведь можно ограничить количество соединений на открытый порт машины . За печенье спасибо, погуглю эту тему
Стоп. Смотри на порядок действий
1. Приходит пакет
2. Возникает прерывание
3. Ядро обрабатывает пакет
Если тебе валят ядро прерываниями, ты файрволом не защитишься вообще никак
1. Приходит пакет
2. Возникает прерывание
3. Ядро обрабатывает пакет
Если тебе валят ядро прерываниями, ты файрволом не защитишься вообще никак
АП
А печенье давно уж в ядре
vt
Я блочу порт deny from any to me dst port 1234 , и атака отражается
SD
... вообще, если я не ошибаюсь, лет уже несколько как syn flood ядро не валит. syn cookie спасают
наверное, зависит от потока дерьма который летит (но это не точно)
АП
Нет. Ядро свалить классическим способом (вычерпав память) синфлудом уже невозможно
АП
Можно повалить ядро прерываниями, и можно повалить канал пакетами. И то и другое - уже DDoS, а не SYNflood
vt
Можно повалить ядро прерываниями, и можно повалить канал пакетами. И то и другое - уже DDoS, а не SYNflood
Канал не забивается. Проверено, а прерывания растут, даже при минимальном трафике. Достаточно 2х мб/с, я думал это syn
АП
Нет, SYN flood ты сейчас ни на чем плюс-минус современном не увидишь уже
SD
Можно повалить ядро прерываниями, и можно повалить канал пакетами. И то и другое - уже DDoS, а не SYNflood
синфлуд это просто один из "методов" ддос
АП
АП
Синфлуд не обязательно distributed, пакостность была в том, что можно было очень небольшим потоком вычерпать ядерную память
vt
tcpdump -c 500 -p -q -n -nn -i re0 'tcp and tcp[tcpflags] & (tcp-syn) !=0 and dst 193.228.X.X
SD
ыыыы
SD
начни с "выбросить re"
vt
Этим фильтром отлавливаю атакуемый порт
vt
Это же syn