Защита от DDoS атак

[Eugene]

Есть еще для iptables интересное расширение TARPIT - черная дыра, в 
которую могут проваливаться пакеты, причем он не дает сброить 
соединение. Поэтому та сторона вынуждена держать открытый сокет едва ли 
20 минут (по уверениям разработчиков) и расходовать на него ресурсы. Сам 
же TARPIT написан так, что не тратит ресурсы на "проглоченные пакеты". 
Проблема может быть в том, что conntrack начнет отслеживать эти 
соединения и он будет на них тратиться. Но вроде бы есть решение, как 
поставить trapit до conntrack-а тогда можно этого избежать.

Евгений

>А зачем RST задерживать ?
>Дропай SYN-ы, пускай та сторона таймаутов ждет
>
>
>Алексей Тутубалин
>mailto: lexa at lexa.ru
>Web: http://www.lexa.ru/lexa 
>
>
>
>  
>