>> 4. paket baru pasti set SYN >> 5. paket-paket lain juga set SYN (established,related)
maaf bila saya keliru utk point 4 + 5 ini (namanya juga baru belajar...tolong diampunin =:( ) ini saya baru liat 'contekan' nya, maksud saya: pada saat 3-way handshake (host a mau mengirim ke host b) 1. host a send SYN ke host b (dng sequence number = x, SYN) 2. host b reply SYN ke host a + ACK (acknumber=y, seqnumber=x+1, SYN+ACK) nah maksud saya adalah paket kedua ini juga SYN (bukan hanya paket pertama saja....btw sori berat, saya lupa 'ilmu' ini, maklum uda lama tertimbun) 3. host a menjawab dng ACK (acknumber=y+1) seabis ini, baru paket data dilewatkan.. jadi... ada dua paket yg set SYN (yaitu paket 'handshake' I dan paket handshake II sbg replynya) maka premisnya jadi: 1. semua state NEW pasti set SYN 2. state NEW tidak hanya tergantung dari SYN saja (seq+ack number) 3. paket baru (baru dibentuk-setelah ditutup) adalah state NEW 4. paket baru pasti set SYN -5.- paket-paket lain juga set SYN (handshake I dan II) -6.- yg set SYN hanya ada dua paket dan pasti NEW.. >> Sebelumnya saya ucapkan terima kasih atas penjelasannya... terima kasih balik....(saya jadi banyak belajar lagi soal ini, tuhhh liat aja kudu buka 'kebetan' dulu) >> Lanjut ke masalah iptables, jika kita ingin membuka port-port tertentu >> saja (dg default chain INPUT adl DROP) apakah cukup dg rule ini: >> -A INPUT -s ... -p tcp -m multiport --dport 21,22,80 -m state --state NEW -j >> ACCEPT yapp this is great...dng multiport kita ngeset source dan destination (sekaligus..--sport dan --dport) sekaligus....: atau bisa juga begini # utk memastikan semua state NEW memiliki set SYN flags, jadi hanya koneksi # TCP yang berSYN yg diterima iptables -A INPUT -i input_interface -p tcp ! --syn -m state --state NEW -j DROP >> Lalu bagaimana menghindari SYN FLOOD & DoS, karena seperti penjelasan >> anda, state NEW pasti set SYN ? # membatasi limit (satuan waktu) dan limit burst (paket per limit tadi) jadi # membatasi 4 paket x 1/second = 4 paket per detik. iptables -N syn-flood iptables -A INPUT -i input_interface -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP analog modem = 87 syns/sec isdn, cable dsl = 200 syns/sec t1 = 2343 syns/sec 474 hacked systems = 94800 syns/sec dan memang tidak sepenuhnya ngilangin syn flood hanya mengurangi...(kayak penyakit aja), dan bisa diliat di www.tech-mavens.com (kalo ga salah). tapi kalo DoS model lain, wah saya rasa ilmu dan 'contekan' saya belum cukup nih... love's, harry -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
