slut, am avut si eu experiente similare si am aflat (tot de aici de pe lista) ca exista un mod de a face drop la pachete inca inainte ca acestea sa ajunga in iptables.
ideea este sa adaugi in tabela arp ip-ul virusat cu o adresa mac aiurea: arp -s hostname hw_addr de exemplu arp -s 192.168.xxx.xxx 00:00:00:FF:00:00 have fun! --- Constantin Gavrilescu <[EMAIL PROTECTED]> wrote: > Mediul ostil dintr-o retea de bloc :) > > Flood pe un gateway p2 dual la 350Mhz. Floodul se > face din retea cu o > multime de pachete cu sursa random. Gatewayul tine > un firewall destul de > lung, cu mipclasses, si 250 de clase htb pe fiecare > din cele 2 interfete. > > Ce spun mai jos se intimpla pe interfata lan: > > Traficul normal: > 500-700 pps pe outgoing pe interfata lan, 3-4 mbit/s > 1k pps pe incoming in permanenta la trafic de 1.6 > mbit/s. Sunt asa multe > pachete din cauza virusatilor cu sasser, blaster... > care, dupa cum sunt > multi, fac impreuna cam 3-400 pps. Acestor pachete > li se da drop din > mangle, la inceputul firewall-ului. > > Flood, de la un singur calculator: > > Initial: > 6-7k pps pe incoming, 6Mbit/s > 100kbit/s pe outgoing, netul nu mai merge > load average spre 1 > Warninguri de genul: "ip_conntrack: table full, > dropping packet." si > "eth1: too much work at interrupt, status 0x4050" > > Dupa ce am citit http://cr.yp.to/syncookies.html, am > dat "echo 1 > > /proc/sys/net/ipv4/tcp_syncookies". Rezultatul: > Duce mult mai multe pachete pe eth1: > 12k pps pe incoming > 1mbit pe outgoing, netul nu mai pare cazut > load average mai mare de 1 > > A fost un experiment interesant... pentru mine. Daca > aveti si voi > comentarii din experienta, shoot. > > --- > Detalii despre listele noastre de mail: > http://www.lug.ro/ > > > __________________________________ Do you Yahoo!? Meet the all-new My Yahoo! - Try it today! http://my.yahoo.com --- Detalii despre listele noastre de mail: http://www.lug.ro/
