[MASOCH-L] RES: Limitando conexoes UDP por host de origem

Hamilton Vera hamilton at i2.com.br
Wed Nov 23 18:38:29 -03 2005


Foi a melhor solucao que pensei, mesmo que eu fique barrando um numero
alto de conexoes forjadas, pelo menos o servico tem mais probabilidade
de continuar respondendo (de acordo com minha teoria), mesmo que para 
isso tenha que sacrificar algumas redes que nao tem configuracao adequada.

Pelo que vi durante os dumps que realizei essas consultas 
inoportunas estao sendo feitas por um agregado de 14 maquinas,
nao sao sempre os mesmos ips, mas geralmente sao 10-14 maquinas.
Nao carateriza um DDoS muito "distribuido" porém o numero de
pacotes é muito alto. Dos 4 servidores que respondem pelo dominio,
a media é de 7 queries por segundo, quando acontecem esses incidentes
a media vai para 130 queries por segundo, consequentemente o load
cpu das maquinas vai lá no teto. A servico nao chega a parar, porem
vejo que requisicoes autenticas ficam prejudicadas.

Julio, se tiver alguma outra ideia, por favor me avise.

Obrigado.


On Wed, 23 Nov 2005, Julio Arruda wrote:

> Se sua preocupacao e' DoS, tendo em vista que qualquer DoS baseado em
> UDP muito provavelmente vai forjar endereco origem...do que adianta
> tentar manter uma tabela de sessoes por host origem ? Ou estou deixando
> de ver alguma coisa obvia aqui ?
> (Sim, em um mundo hipotetico perfeito, todos fazem filtros de RPF ou
> algo para evitar spoofing, mas...ate la...)
>
> Hamilton Vera wrote:


More information about the masoch-l mailing list