moznosti ochrany voci DDOS

[Dan Lukes]

Divacky Roman wrote:

>>>>Este by ma zaujimalo ci existuje obdoba iptables -m string 
>>>>--string "daco" v ipfw, ipfw2, ipf.

>>Ups, sorry, zdalo sa mi to jasne. Je to hrubo povedane matchovanie paketov
>>podla stringov, zvacsa sa to pouziva na blokovanie M$ cervikov "cmd.exe",
>>p2p, ...

> tohle nekdo dela na sitove vrstve??? huh... drsne

	iptables to skutecne na sitove vrstve delaji.

	Jenze jde o test znacne nespolehlivy (na TCP neni nic jednodussiho, nez
retezec poslat ve dvou paketech - nebo treba kazde pismenko ve zvlastnim
paketu). Na sitove vrstve je tedy neco takoveho delat celkem nerozumne.

	Tato uloha se spravne resi na vrstve aplikacni - a aplikacni proxyny na
FreeBSD existuji - napriklad SQUID.

>>Pravdu povediac, som ocakaval nejaky link na nejaky sumar tipov co nastavit
>>cez sysctl, nieco s dummynet-om, zazracny patch do kernelu alebo pod., ale
>>pozriem aj man :-)

	Tak tu rady tady mate - spravne reseni predestreneho problemu je
aplikacni proxy.

	Jinak ale, pokdu trvate na reseni na sitove vrstve, neni problem si
neco takoveho napsat. Pomoci "divert"  lze pakety "zapujcit" aplikacni
vrstve, kde si s nimi muzete delat jaka kouzla chcete a jen podle sveho
uvazeni nektere jadru vratit, kdezto jine ne. Jestli ale existuje port s
pozadovanou funkcionalitou nebo ne a budete si to muset napsat sam (je
to odhadem na dvacet radek), to nevim.

						Dan


-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz