Florin Andrei wrote:
>
> On 06 Jun 2001 22:44:36 +0300, Stefan Laudat wrote:
> >
> > > Limita maxima de conexiuni legitime pe secunda e intotdeauna mult mai
> > > mica decit limita maxima de SYN-uri pe secunda pe care le poate incasa
> > > orice masina inainte sa gifiie.
> > > Asa ca nu apare nici o limitare.
> >
> > Hai ma Florine, ce naiba... :)
> > daca iti vin 15000 syn-uri/sec de la unu' si alte 100/sec
> > sunt legitime, iar tu pui limita la 200/sec, zi si tu care
> > e probabilitatea ca unu' din alea 100 sa loveasca fatza
> > de cele 15.000 ?
>
> Bun, deci, putem alege:
> - fie lasam masina sa crape din cauza de SYN
Nu cred ca o sa crape din cauze de syn, problema o sa fie ca nu se mai
pot conecta userii legitimi.
Cand tcp/ip-ul primeste un syn trimite inapoi un syn/ack si asteapta un
ack (3-way handshake). Doar dupa asta afla si aplicatia care asculta pe
socketul respectiv ca s-a stabilit o conexiune.
Daca nu primeste ack, dupa un timp sterge structura alocata conexiunii
din SYN queue. Cand vin foarte multe syn-uri fara ack-uri o sa fie
foarte multe conexiuni "half open" => se umple coada de SYN-uri si
tcp/ip-ul nu mai accepta noi syn-uri (deci noi posibil legitime
conexiuni). Pe asta se bazeaza syn flood-ul: DoS pentru tcp.
Exista insa metode de a scapa, cum sunt syn cookie-urile din linux
(ftp://koobera.math.uic.edu/syncookies.html).
> - fie alegem sa nu mai servim pagini atunci cind sintem flood-ati
> D.p.d.v. al userului, e acelasi lucru. D.p.d.v. al serverului, a doua e
> preferabila.
>
> Oricum, eu ziceam asa: sa determini care e limita maxima acceptabila de
> SYN-uri, dincolo de care masina o ia in balarii, si sa pui o limita
> putin mai jos.
> Atunci cind masina face ca toti dracii din cauza de prea multe SYN-uri,
> zau ca nu ma intereseaza care e probabilitatea pentru conexiunile
> legitime.
>
Pai o sa faci exact ce vor aia care-ti dau syn flood-ul, ba chiar
trebuie sa se oboseasca mai putin (trebuie doar sa-ti depaseasca
limita).
BTW: ai folosit syn cookies si tot ai avut probleme cu syn flood-ul?
Andrei
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
