Diky za odpoved. On 30.3.2010, at 21:57, Dan Lukes wrote:
> Ano, i kdyz ne pro kazdy typ paketu - typicky musis povolit nektere ICMP a > pak samozrejme TCP, vyjma ovsem SYN!ACK. > Jasne, tohle jsem si neuvedomil, ze muzu nestavove filtrovat podle flagu a tim do jiste miry ochranit i pocitace uvnitr site (krome toho naruseni existujiciho spojeni, o kterym jsi uz mluvil) > >> Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr. >> typicky je potreba otevrit >> 10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou >> sit sesti set neduveryhodnych pocitacu, >> je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic >> pocitacu?) > > Pokud mas dostatek pameti a vypocetniho vykonu s ohledem na pocet > prochazejicich paketu za jednotku casu tak neni nebezpecna nikdy. > To jsem prave myslel jako tu otazku - jestli nekdo nekde nevidel nejaky konkretni priklad "na zeleze XY s YZ RAM stacilo otevrit ZX spojeni, aby se server efektivne zhroutil kvuli swapovani". Vubec totiz nemam predstavu, jak je vlastne takovy ddos pravdepodobny - jak moc usili by utocnik musel vynalozit, jestlize bude predpokladat, ze mam nejaky bezny hw. Jde mi o to, jestli to zvladne vicemene jakykoli Franta Zakernak, nebo to musi byt nekdo, kdo ma pristup k dostatecne velkymu botnetu. Pro hrubou predstavu by asi stacilo i vedet, jak velka je datova struktura pridelena pro jedno spojeni - moc bytu to asi nebude, ne? (takze k uspesnymu ddosu - umoznenymu RAMkou - by ten pocet spojeni musel byt enormni) > Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o dva > rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me zas az > tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane toho, co PC > router vubec zvlada a prestoze nemam vycisleno jak hodne by ho to zpomalilo, > ze by ho to zpomalilo je jasne ... > Tady by me taky zajimaly nejaky konkretni testy, jestli nekdo o necem nevite. S vetsima sitema s vetsim provozem nemam zkusenosti a pamatuju si, ze me kdysi docela sokovalo, kdyz jsem slysel, ze na jakesi siti jenom firewallovani vytizi docela (uz je to par let) slusnej pocitac. Samozrejme je tady taky ta souvislost s ddos - jestli onen router prestane plnit funkci pravdepodobneji kvuli nedostatku RAM nebo kvuli vypocetni narocnosti prochazeni pravidel. diky Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
