El 05/08/2014 1:08, Hugo Florentino escribió:
Hola colegas,
Supongamos que un posible atacante nos envía desde direcciones ip
diferentes una avalancha de paquetes tcp con el flag SYN establecido.
Por lo que tengo entendido, nuestro servidor intentaría enviar la
combinación SYN,ACK varias veces en espera de recibir un ACK que nunca
llega, y esto consume recursos por un tiempo que puede tomar hasta
varios minutos, lo cual podrían aprovechar para hacernos un ataque de
denegación de servicios.
Existe alguna forma en iptables de reducir la cantidad de intentos de
responder con la combinación SYN,ACK y/o de reducir el tiempo de
dichos reintentos?
Qué otras medidas podrían tomarse, además de usar un control de flujo
para mitigar el riesgo?
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
shorewall, ya trae estas protecciones. genera las reglas con este y
consúltalas con con iptables -L -n. Salu2.
--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Nodo Central ARTex S.A. La Habana. Cuba.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20140805/cf4f0c94/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: arian.vcf
Type: text/x-vcard
Size: 4 bytes
Desc: no disponible
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20140805/cf4f0c94/attachment.vcf>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
