[MASOCH-L] Limitando conexoes UDP por host de origem
Thomas Britis
thomas at tcnet.com.br
Wed Nov 23 14:50:59 -03 2005
módulo connlimit do patch-o-matic-ng
http://www.netfilter.org/projects/patch-o-matic/pom-base.html#pom-base-connlimit
Hamilton Vera wrote:
> Boa tarde caros, tudo bem?
>
> Gostaria de saber se alguem utiliza o iptables com algum modulo
> que possibilite limitar o numero de conexoes UDP por host de origem.
>
> Por exemplo, pensei em aplicar isso para evitar ataques DoS em
> servidores DNS.
>
> Gostaria que se um determinado IP mandasse mais de 10 queries
> por segundo os pacotes sejam descartados.
>
> O que (eu penso) nao poderia ser feito por uma regra usando o "limit"
>
> --dport 53 -m limit --limit 10/s
>
>
> creio que ele nao faz distincao da origem do pacote, levando em
> consideracao apenas a quantidade de conexoes para o host de destino,
> portanto ineficaz contra um DoS.
>
>
> Procurei no google e na pagina do netfilter porem encontrei
> referencias nao "oficiais" sobre alguns modulos.
>
> Obrigado pela atencao.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
--
Thomas Storino Britis
TCNet Informatica e Telecomunicacoes LTDA
More information about the masoch-l
mailing list