Frozen Fido : RU.UNIX.BSD : Re: Passive FTP

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexey G Misyuremko                  2:5020/400     26 Aug 2005  15:39:25
 To : Alex Semenyaka
 Subject : Re: Passive FTP
 --------------------------------------------------------------------------------

 Alex Semenyaka wrote:
 
 > Hello Alexey!
 > 
 > 26 Aug 05 01:15, you wrote to me:
 > 
 >  >>  AM> разного и вкусного, даже пытался добавить (альтернативу synproxy
 >  >>  AM> для борьбы с syn DDoS),
 >  >> А на каких принципах борьба?
 >  AM> утрированно
 >  AM> аналогично synproxy, только в ответ на syn от tcp клиента
 >  AM> ответить не syn+ack, а просто ack, чтобы заставить tcp клиента
 >  AM> послать еще один syn и вот его уже спокойно пропустить далее
 >  AM> до tcp сервера.
 > 
 > Хм. Куча вопросов:
 > 
 > 1) А по какой спецификации при получении ACK вместо SYN+ACK система должна
 > отослать новый SYN? По-моему, она должна такой ACK полностью проигнорировать, 
 > а SYN перепослать по таймауту. То есть, можно ACK и не отсылать вообще.
 
 Отсылкой ACK мы добьемся получения RST , от инициатора соединения
 и новый SYN после "retransmition delay", который  бум считать верифицированным
 
 > 2) Hадо же помнить, какой SYN пришёл один раз, а какой - второй? То есть,
 > требуется аллокировать память под полученные SYNы (как минимум, надо помнить
 > пары сокетов, 12 байтов на SYN). DoS это откладывает, но не отменяет.
 
 Да, именно так - такое решение требует памяти, и много, но экономит
 на вычислениях
 
 > 3) Если решение станет известным, то флудилки просто будут рождать пару-тройку
 > одинаковых SYNов, и данная защита это пропустит.
 
 А поэтому перед своим абзацем и написал - утрированно.
 
 > 4) В Ethernet это может (из-за ARP) привести к задержкам в секунду-другую на
 > установлении каждого TCP-соединения, что не всегда допустимо. Возможно,
 > механизм нужно делать каким-то настраиваемым, например, с "белым списком"?
 
 Варианов "экономии" при  решения задачи защиты полно.
 Hапример, если в сторону сервера "прет" 10syn-per-second
 то IMHO сервер вполне это способен переварить и механимы отбивания от
 SYNов можно не включать.
 -- 
 WBR,   Alexey G Misyurenko ( MAG-RIPE | MMAGG-RIPN )
 CTO of Caravan ISP            http://www.caravan.ru
 Phone: +7 095 3632252         Cell:  +7 095 5082794
 --- ifmail v.2.15dev5.3
  * Origin: ISP Caravan(http://www.caravan.ru) News Server (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: Passive FTP	Eugene Grosbein	24 Aug 2005 10:30:16
Passive FTP	Alex Semenyaka	24 Aug 2005 12:33:14
Re: Passive FTP	Gleb Smirnoff	24 Aug 2005 14:52:36
Passive FTP	Alex Semenyaka	24 Aug 2005 16:39:54
Re: Passive FTP	Spartak Radchenko	24 Aug 2005 19:06:14
Re: Passive FTP	Spartak Radchenko	24 Aug 2005 19:33:31
Passive FTP	Alex Semenyaka	24 Aug 2005 19:09:06
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 16:15:44
Re: Passive FTP	Spartak Radchenko	25 Aug 2005 16:42:30
Passive FTP	Alex Semenyaka	25 Aug 2005 18:33:28
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 22:32:18
Passive FTP	Alex Semenyaka	25 Aug 2005 22:30:10
Re: Passive FTP	Spartak Radchenko	25 Aug 2005 16:37:25
Passive FTP	Alex Semenyaka	25 Aug 2005 17:46:26
Passive FTP	Alex Semenyaka	24 Aug 2005 18:38:58
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 11:49:00
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 11:59:46
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 13:00:11
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 13:20:40
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 14:03:58
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 14:22:34
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 15:39:42
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 16:14:12
Re: Passive FTP	Valentin Nechayev	28 Aug 2005 13:47:23
Passive FTP	Alex Semenyaka	25 Aug 2005 14:49:10
Re: Passive FTP	Alexey G Misyuremko	25 Aug 2005 13:43:31
Passive FTP	Slawa Olhovchenkov	25 Aug 2005 13:54:00
Passive FTP	Alex Semenyaka	25 Aug 2005 14:51:36
Re: Passive FTP	Alexey G Misyuremko	25 Aug 2005 20:36:18
Passive FTP	Alex Semenyaka	25 Aug 2005 21:56:50
Re: Passive FTP	Alexey G. Misyurenko	26 Aug 2005 01:15:58
Passive FTP	Alex Semenyaka	26 Aug 2005 12:02:20
Re: Passive FTP	Alexey G Misyuremko	26 Aug 2005 15:39:25
Passive FTP	Alex Semenyaka	26 Aug 2005 17:32:04
Passive FTP	Alex Semenyaka	26 Aug 2005 19:52:58
Re: Passive FTP	Alexey G. Misyurenko	26 Aug 2005 23:50:01
Passive FTP	Alex Semenyaka	27 Aug 2005 14:33:56
Re: Passive FTP	Alexey G. Misyurenko	27 Aug 2005 23:33:27
Passive FTP	Alex Semenyaka	28 Aug 2005 16:29:08
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 16:38:55
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 16:37:54
Re: Passive FTP	Alexey G Misyuremko	26 Aug 2005 16:50:32
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 17:32:56
Re: Passive FTP	Alexey G Misyuremko	26 Aug 2005 17:46:35
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 18:02:14
Re: Passive FTP	Alexey G Misyuremko	26 Aug 2005 18:13:52
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 18:34:01
Re: Passive FTP	Alexey G. Misyurenko	26 Aug 2005 23:09:17
Passive FTP	Alex Semenyaka	26 Aug 2005 18:41:54
Re: Passive FTP	Moderator of RU.UNIX.BSD	28 Aug 2005 14:31:39
Re: Passive FTP	Victor Sudakov	25 Aug 2005 12:06:58
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 12:58:11
Passive FTP	Alex Semenyaka	25 Aug 2005 13:03:10
Re: Passive FTP	Gleb Smirnoff	25 Aug 2005 16:36:23
Passive FTP	Alex Semenyaka	25 Aug 2005 17:38:18
Re: Passive FTP	Gleb Smirnoff	26 Aug 2005 16:14:58
Passive FTP	Alex Semenyaka	26 Aug 2005 17:56:18

Архивное /ru.unix.bsd/104332a51a8f2.html, оценка 1 из 5, голосов 10