----- Original Message -----
hodinu je blokaze ukoncena a utocnik se muze zacit pokouset znovu, jenze
pak nastane situace z predchoziho pripadu - pocet > maximum a tim padem
se neblokuje ale napise se hlaska do logu. Dalo by se rict, ze staci
obcas restartovat bruteblock, aby si uvolnil tuhle tabulku, ale to taky
neni spravne, protoze tim padem prijde o informace o "pomalejch"
utocnicich. Takze jsem udelal patch, kterej rika, ze v pripade ze
pocet>maximum, tak se mimo jine nastavuje pocet =1 (predpokladam, ze je
to nove kolo a muzeme zacit pocitat od jednicky)
Pokud jsem ja spravne pochopil (bruteblock pouzivam), tak se zablokovani
deje pridanim zaznamu do tabulky IPFW (PF) s informaci, jak dlouho ma
blokace trvat. Tento zaznam pak vyhazuje daemon bruteblockd.
Ja bych pak za nejlogictejsi povazoval takove chovani, kdy se pri
zablokovani adresy proste zaznam z pole proste vymaze. Adresa je
zablokovana, nemusime se o ni vubec starat. Az ji brutebockd odblokuje, a
prijde z ni nejaky dalsi pokus o utok, zacneme s ni pracovat, jako s uplne
novou adresou.
...ja byl dodnes presvedceny o tom, ze se to ale takto chova. Zdrojaky
jsem necetl.
Ano, ja jsem si to myslel taky, ale to pole je udelane dost zjednodusene - a
to zjednoduseni je zalozene na tom, ze se celkem netrivialne zmensuje -
takze ho proste nezmensujou.
Mimochodem - vyzkousej muj patch. Po jeho aplikaci jsem zmensil maily z
distribuovanych utoku na tretinu.
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
