Artem Chuprina wrote:
MG> tcp syn proxy проверка валидности (досягаемости начального узла /
MG> инструмент при проверке на спуф).
Не понял... Насколько я представляю себе устройство современных NAT'ов,
если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем
отправить SYN+ACK может только тот сервис, который там висит - у
файрвола этот номер не пройдет.
я специально посмотрел - единственное правильное, что сказал однофамилец
джона. в openbsd pf действиттельно может принимать соединения и отдавать
их дальше только после установки соединения.
в принципе интересно, хотя проц должно грузить - но всё равно
производительнее будет, чем аналогичное userspace решение. с другой
стороны непонятно чем syncookies не нравится - при хорошем флуде
syn-пакетами сервер будет работать в общем-то нормально, а synproxy
съест процессор и устроит dos.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
