[MASOCH-L] RES: Limitando conexoes UDP por host de origem
Julio Arruda
jarruda-gter at jarruda.com
Wed Nov 23 18:12:50 -03 2005
Se sua preocupacao e' DoS, tendo em vista que qualquer DoS baseado em
UDP muito provavelmente vai forjar endereco origem...do que adianta
tentar manter uma tabela de sessoes por host origem ? Ou estou deixando
de ver alguma coisa obvia aqui ?
(Sim, em um mundo hipotetico perfeito, todos fazem filtros de RPF ou
algo para evitar spoofing, mas...ate la...)
Hamilton Vera wrote:
> Oi Lisandro, tudo bom?
>
> O que estou tentado fazer é ponderar o numero de queries nos servidores
> DNS. Eu poderia ate limitar o numero de conexoes que a maquina final
> responde, mas isso é ineficaz contra DoS, pois se alguma maquina comecar
> a mandar pacotes e exceder o numero de conexoes, mesmo que e o software
> de dns trate as conexoes, vai resultar em um DoS do mesmo jeito ( eu
> acho ).
>
> Lembrando que um ataque desse tipo nao envolve apenas consumdo de
> recursos de rede mas tambem recursos do sistema.
>
> O que quero é evitar uso abusivo do servico, se N conexoes udp vierem do
> mesmo host, o firewall comecaria barrar as conexoes dessa host, porem
> as conexoes de outras maquinas que nao ultrapassarem esse limite
> continuaram normalmente.
>
> Apenas "me auto" corrigindo, alguem conhece algum recurso do netfilter
> para fazer isso?
>
> :)
>
>
> On Wed, 23 Nov 2005, Lisandro Weissheimer wrote:
>
>> Hamilton,
>>
>> Apenas confirmando, IPtables nao trata o número do conexões.
>>
>> Uma pergunta: Não tem como você limitar isso na sua aplicação?
>>
>> Att,
>
>
> ------------------------------------------------------------------------
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list