[MASOCH-L] RES: Limitando conexoes UDP por host de origem
Julio Arruda
jarruda-gter at jarruda.com
Wed Nov 23 20:31:15 -03 2005
Hamilton Vera wrote:
> Foi a melhor solucao que pensei, mesmo que eu fique barrando um numero
> alto de conexoes forjadas, pelo menos o servico tem mais probabilidade
> de continuar respondendo (de acordo com minha teoria), mesmo que para
> isso tenha que sacrificar algumas redes que nao tem configuracao adequada.
>
> Pelo que vi durante os dumps que realizei essas consultas inoportunas
> estao sendo feitas por um agregado de 14 maquinas,
> nao sao sempre os mesmos ips, mas geralmente sao 10-14 maquinas.
> Nao carateriza um DDoS muito "distribuido" porém o numero de
> pacotes é muito alto. Dos 4 servidores que respondem pelo dominio,
Sera que e' DoS, ou e' trafego legitimo ? Talvez um caso de gente mal
configurada ?
> a media é de 7 queries por segundo, quando acontecem esses incidentes
> a media vai para 130 queries por segundo, consequentemente o load
> cpu das maquinas vai lá no teto. A servico nao chega a parar, porem
> vejo que requisicoes autenticas ficam prejudicadas.
>
> Julio, se tiver alguma outra ideia, por favor me avise.
Pelo que voce esta falando, nao e' um caso generico, e' um caso
especifico, certo ?
Existe alguma 'assinatura' neste DoS ? Se tiver, nao compensa colocar em
uma maquina anterior um filtro por esta assinatura ?
Eles buscam sempre a mesma coisa nos requests ? Tem como voce se livrar
do dominio :-) ?
(tinha um conhecido meu que tinha um dominio que estava na 'lista' de um
destes worms, a solucao foi simplesmente mudar no dominio para um IP de
'lixo', ja que o dominio nem estava ativo..Eram milhares de sessoes HTTP
iniciadas para o web server que "era" o virtualhost...)
>
> Obrigado.
>
>
> On Wed, 23 Nov 2005, Julio Arruda wrote:
>
>> Se sua preocupacao e' DoS, tendo em vista que qualquer DoS baseado em
>> UDP muito provavelmente vai forjar endereco origem...do que adianta
>> tentar manter uma tabela de sessoes por host origem ? Ou estou deixando
>> de ver alguma coisa obvia aqui ?
>> (Sim, em um mundo hipotetico perfeito, todos fazem filtros de RPF ou
>> algo para evitar spoofing, mas...ate la...)
>>
>> Hamilton Vera wrote:
>
>
> ------------------------------------------------------------------------
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list