[MASOCH-L] RES: Limitando conexoes UDP por host de origem

Julio Arruda jarruda-gter at jarruda.com
Wed Nov 23 20:31:15 -03 2005


Hamilton Vera wrote:
> Foi a melhor solucao que pensei, mesmo que eu fique barrando um numero
> alto de conexoes forjadas, pelo menos o servico tem mais probabilidade
> de continuar respondendo (de acordo com minha teoria), mesmo que para 
> isso tenha que sacrificar algumas redes que nao tem configuracao adequada.
> 
> Pelo que vi durante os dumps que realizei essas consultas inoportunas 
> estao sendo feitas por um agregado de 14 maquinas,
> nao sao sempre os mesmos ips, mas geralmente sao 10-14 maquinas.
> Nao carateriza um DDoS muito "distribuido" porém o numero de
> pacotes é muito alto. Dos 4 servidores que respondem pelo dominio,

Sera que e' DoS, ou e' trafego legitimo ? Talvez um caso de gente mal 
configurada ?

> a media é de 7 queries por segundo, quando acontecem esses incidentes
> a media vai para 130 queries por segundo, consequentemente o load
> cpu das maquinas vai lá no teto. A servico nao chega a parar, porem
> vejo que requisicoes autenticas ficam prejudicadas.
> 
> Julio, se tiver alguma outra ideia, por favor me avise.


Pelo que voce esta falando, nao e' um caso generico, e' um caso 
especifico, certo ?

Existe alguma 'assinatura' neste DoS ? Se tiver, nao compensa colocar em 
uma maquina anterior um filtro por esta assinatura ?
Eles buscam sempre a mesma coisa nos requests ? Tem como voce se livrar 
do dominio :-) ?
(tinha um conhecido meu que tinha um dominio que estava na 'lista' de um 
destes worms, a solucao foi simplesmente mudar no dominio para um IP de 
'lixo', ja que o dominio nem estava ativo..Eram milhares de sessoes HTTP 
iniciadas para o web server que "era" o virtualhost...)



> 
> Obrigado.
> 
> 
> On Wed, 23 Nov 2005, Julio Arruda wrote:
> 
>> Se sua preocupacao e' DoS, tendo em vista que qualquer DoS baseado em
>> UDP muito provavelmente vai forjar endereco origem...do que adianta
>> tentar manter uma tabela de sessoes por host origem ? Ou estou deixando
>> de ver alguma coisa obvia aqui ?
>> (Sim, em um mundo hipotetico perfeito, todos fazem filtros de RPF ou
>> algo para evitar spoofing, mas...ate la...)
>>
>> Hamilton Vera wrote:
> 
> 
> ------------------------------------------------------------------------
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list