Защита от DDoS атак

Avramenko Andrew liksx at mail.ru
Thu Mar 30 14:03:20 MSD 2006


Eugene wrote:
> Есть еще для iptables интересное расширение TARPIT - черная дыра, в 
> которую могут проваливаться пакеты, причем он не дает сброить 
> соединение. Поэтому та сторона вынуждена держать открытый сокет едва ли 
> 20 минут (по уверениям разработчиков) и расходовать на него ресурсы. Сам 
> же TARPIT написан так, что не тратит ресурсы на "проглоченные пакеты". 
> Проблема может быть в том, что conntrack начнет отслеживать эти 
> соединения и он будет на них тратиться. Но вроде бы есть решение, как 
> поставить trapit до conntrack-а тогда можно этого избежать.

Ложь и провокация :-)
Не держит он 20 минут соединение. Это может быть только на особо тупых 
компах. Windows XP Pro держало не больше 2-3-х минут.





More information about the nginx-ru mailing list