|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 29 Aug 2005 14:14:15
To : Viktor
Subject : Re: Passive FTP
--------------------------------------------------------------------------------
>>> Viktor wrote:
> EG>> Встречал мнение, что statefull firewall прямая мишень для DoS,
> EG>> в отличие от stateless.
>> Это означает только одно: он должен быть более грамотно построен чем
>> такой, который сломается от DoS'а. Для начала, контролировать
>> приближение к переполнению таблиц и в этом случае применять какую-то
>> защитную политику - вплоть до полного выключения stateful логики
>> до конца проблемы.
>>
>> А что, были другие идеи? :)
V> Кстати, что значит "сломается"?
Это значит любые варианты ухудшения функциональности по сравнению с
нейтральным вариантом, при котором работоспособность сохраняется во
всех областях на которые не влиял DoS и немедленно восстанавливается
по завершению атаки.
V> Вот тут http://mail.openbsd.ru/lists/openbsd/2000.10/0055.html написано
V> (вроде не забор) что при перепонении keep state таблицы новые попытки
V> соединения будут игнорироваться (пакеты будут отбрасываться), система то
V> жива будет. Есть лимит у канала, есть и у системы (только его еще и
V> потюнить можно). Hичего удивительного, за все надо платить.
Это как раз хороший вариант, который не ломается. Хотя надо
проверить, например, такой вариант: список stateful-записей, что
соединения с одного хоста переполняют таблицу, которая рассчитана
(админом) на обслуживание нескольких хостов.
-netch-
--- ifmail v.2.15dev5.3
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Passive FTP |
Valentin Nechayev |
24 Aug 2005 12:27:36 |
 Re: Passive FTP |
Viktor |
24 Aug 2005 18:02:22 |
 Re: Passive FTP |
Valentin Nechayev |
29 Aug 2005 14:14:15 |
|
|
