[MASOCH-L] RES: Limitando conexoes UDP por host de origem

Hamilton Vera hamilton at i2.com.br
Wed Nov 23 17:57:35 -03 2005


Oi Lisandro, tudo bom?

O que estou tentado fazer é ponderar o numero de queries nos servidores
DNS. Eu poderia ate limitar o numero de conexoes que a maquina 
final responde, mas isso é ineficaz contra DoS, pois se alguma maquina 
comecar a mandar pacotes e exceder o numero de conexoes, mesmo que e o 
software de dns trate as conexoes, vai resultar em um DoS do mesmo jeito ( 
eu acho ).

Lembrando que um ataque desse tipo nao envolve apenas consumdo de recursos 
de rede mas tambem recursos do sistema.

O que quero é evitar uso abusivo do servico, se N conexoes udp vierem do 
mesmo host, o firewall comecaria  barrar as conexoes dessa host, porem 
as conexoes de outras maquinas que nao ultrapassarem esse limite 
continuaram normalmente.

Apenas "me auto" corrigindo, alguem conhece algum recurso do netfilter
para fazer isso?

:)


On Wed, 23 Nov 2005, Lisandro Weissheimer wrote:

> Hamilton,
>
> Apenas confirmando, IPtables nao trata o número do conexões.
>
> Uma pergunta: Não tem como você limitar isso na sua aplicação?
>
> Att,


More information about the masoch-l mailing list