Cred ca ai inteles gresit ceea ce face syncookies. Acest cookie nu va aloca resurse locale (memorie) doar pt ca un zevzec se trezeste sa-ti trimita un SYN, ci va amina alocarea resurselor pina in momentul in care respectivul va raspunde la pachetul SYN+ACK emis de serverul tau. Cu alte cuvinte atacul DoS va esua, serverul continuind sa serveasca clientii cuminti chiar in conditiile unui atac.
Filtrarea SYN-urilor care au atributul "flood" = yes este imposibila din simplul motiv ca acest atribut nu exista. Bucur Marian wrote: >Subiectul a mai fost pe rlug.. numai ca nu am gasit o solutie: >De ceva timp ma trezesc la intervale random ca cineva imi floodeaza serverul de web. >Pachetele sunt de tip SYN.. pe portul 80 si normal ca http se sufoca. Adresele de la >care pleaca pachetele sunt spoofate, normal :( >Lumea mi-a sugerat sa enablez tcp_syncookies .. am facut-o dar tot ma trezesc cu tone >de pachete pe 80. Am restartat serviciul de network (sunt pe RH) la fel.. si totusi >in /pros/sys/net/ipv4/tcp_syncokies e 1 >Ce dracu am gresit.. ce mai trebuie sa fac? >Thanks > > >--- >Detalii despre listele noastre de mail: http://www.lug.ro/ > > > --- Detalii despre listele noastre de mail: http://www.lug.ro/
