Защита от DDoS атак
Eugene
my-subscr at mail.ru
Thu Mar 30 13:32:59 MSD 2006
Есть еще для iptables интересное расширение TARPIT - черная дыра, в
которую могут проваливаться пакеты, причем он не дает сброить
соединение. Поэтому та сторона вынуждена держать открытый сокет едва ли
20 минут (по уверениям разработчиков) и расходовать на него ресурсы. Сам
же TARPIT написан так, что не тратит ресурсы на "проглоченные пакеты".
Проблема может быть в том, что conntrack начнет отслеживать эти
соединения и он будет на них тратиться. Но вроде бы есть решение, как
поставить trapit до conntrack-а тогда можно этого избежать.
Евгений
>А зачем RST задерживать ?
>Дропай SYN-ы, пускай та сторона таймаутов ждет
>
>
>Алексей Тутубалин
>mailto: lexa at lexa.ru
>Web: http://www.lexa.ru/lexa
>
>
>
>
>
More information about the nginx-ru
mailing list