abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:44 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 151. brněnský sraz, který proběhne v pátek 20. 4. od 18:00 hodin v restauraci Benjamin na Drobného 46.

Ladislav Hagara | Komentářů: 0
dnes 13:33 | Nová verze

Byla vydána verze 18.04.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi.

Ladislav Hagara | Komentářů: 0
dnes 13:11 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.26 a beta verze 1.27 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
dnes 12:55 | Komunita

Dle plánu byla dnes vydána hra Rise of the Tomb Raider (Wikipedie) pro Linux. Koupit ji lze za 49,99 €.

Ladislav Hagara | Komentářů: 0
dnes 09:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 254 bezpečnostních chyb. V Oracle Java SE je například opraveno 14 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 12 z nich. V Oracle MySQL je opraveno 33 bezpečnostních chyb. Vzdáleně zneužitelné bez autentizace jsou 2 z nich.

Ladislav Hagara | Komentářů: 3
včera 23:11 | Nová verze

Byla vydána verze 8.0 linuxové distribuce Trisquel GNU/Linux. Nejnovější verze Trisquel nese kódové jméno Flidas a bude podporována do roku 2021. Výchozím prostředím je nově MATE 1.12. Trisquel patří mezi svobodné distribuce doporučované Nadací pro svobodný software (FSF).

Ladislav Hagara | Komentářů: 0
včera 16:00 | Nová verze

Byla vydána nová verze 27.9.0 webového prohlížeče Pale Moon (Wikipedie) vycházejícího z Firefoxu. Přehled novinek v poznámkách k vydání. Jedná se o poslední větší aktualizaci verze 27. Vývojáři se zaměří na novou verzi 28.

Ladislav Hagara | Komentářů: 0
včera 12:00 | Nová verze

Google Chrome 66 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 66.0.3359.117 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 62 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Nová verze

Byla vydána druhá RC verze nové řady 2.10 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Přehled novinek i s náhledy v oznámení o vydání.

Ladislav Hagara | Komentářů: 0
17.4. 23:39 | Pozvánky

Již tento čtvrtek (19. 4.) se v posluchárně 107 na Fakultě informačních technologií ČVUT v Praze Dejvicích odehraje večer s Turrisem, tentokrát zaměřený na nový modulární router MOX. Mluvit o něm budou Patrick Zandl a Ondřej Filip, ale bude i prostor pro dotazy a diskuzi s vývojáři. Akce začíná v 18:00 a plánovaný konec je v 19:45. Mapka, kde se nachází daná posluchárna, a možnost registrace je k dispozici na webu CZ.NIC.

Miška | Komentářů: 0
Používáte na serverech port knocking?
 (2%)
 (7%)
 (48%)
 (27%)
 (16%)
Celkem 322 hlasů
 Komentářů: 29, poslední 5.4. 12:25
    Rozcestník

    Dotaz: DoS attack

    5.9.2006 17:09 smrtak_
    DoS attack
    Přečteno: 485×
    Zdravim, dal by mi nekod radu, nebo navod jak jednoduse a efektivne omezit DoS utok na server, kde bezi icmp,http,a mail sluzby... nejlepe pres iptables...

    Prochazel jsem toto forum a nic konkretniho jsem nenasel. Mam debiana sarge na jadre 2.4

    Dik.

    Odpovědi

    Luboš Doležel (Doli) avatar 5.9.2006 17:26 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: DoS attack
    Měl jsem za to, že DoS se jen tak zabránit nedá. Nicméně můžete omezit syn flooding něčím podobným (nastavte si rozumné hodnoty):
    iptables -N syn_flood
    iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
    iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
    iptables -A syn_flood -j DROP
    5.9.2006 17:44 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: DoS attack
    Přesně tak - tento způsob omezí syn flooding, ale útoku DoS nezabrání - jestliže útočník udělá řekněme 9 pokusů o spojení za sekundu, kdežto užitečný provoz jenom jeden, tak je dost pravděpodobné, že se mu stejně nepodaří spojit
    Quando omni flunkus moritati
    5.9.2006 19:55 smrtak_
    Rozbalit Rozbalit vše Re: DoS attack
    jake doporucujete hodnoty, rekneme pro nastevnost 15 000 uzivatelu za den? Nerad bych to podimenzoval nebo predimenzoval, vlastne ani nevim jake hodnoty limitu to pouziva, na jednu IP nebo celkem?
    Luboš Doležel (Doli) avatar 5.9.2006 20:27 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: DoS attack
    Celkem - proto bych to pro vás nedoporučoval. Tohle vás ochrání před SYN floodem na některé služby, ale DoSu to rozhodně nezabrání (možná ho to spíš urychlí).
    6.9.2006 00:48 smrtak_
    Rozbalit Rozbalit vše Re: DoS attack
    Takze spravne nadimenzovany SYN flooding , u icmp a tcp nedoporucujete?
    6.9.2006 02:54 smrtak_
    Rozbalit Rozbalit vše Re: DoS attack
    Tak jsem tedy nakonec povolil zatim jen SYN-cookies, a v nejblizsi dobe prostuduju modul mod_dosevasive do apache...

    Pokud mi nekdo da par rad z praxe, nebo me navede spravnym smerem, velice to uivitam.

    Jeste jednou diky.
    Max avatar 6.9.2006 03:12 Max | skóre: 66 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DoS attack
    Mno, jak už tady padlo, tak by mohlo pomoci toto (proti syn flood) :
    iptables -N dos_utok
    iptables -A INPUT -i eth0 -p tcp --syn -j dos_utok
    iptables -A dos_utok -m limit --limit 1/s --limit-burst 5 -j RETURN
    iptables -A dos_utok -j DROP
    
    Tím jsme omezili počet spojení na 5 za sekundu
    K tomu bych přidal ještě tyto dva řádky :
    iptables -A INPUT -i eth0 -p tcp --syn -j dos_utok
    iptables -A FORWARD -i eth0 -p tcp --syn -j dos_utok
    
    Proti DoS pomocí tzv. echo-request by mohlo částečně pomoci toto :
    iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j dos_utok
    iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -j dos_utok
    
    Tímto zahrneš do pravidla pro syn i žádosti o ping.
    Ale to není jediná obrana, částečně by ti mohl pomoci také xinetd.
    Zdar Max
    Měl jsem sen ... :(
    6.9.2006 13:55 smrtak_
    Rozbalit Rozbalit vše Re: DoS attack
    iptables -A dos_utok -m limit --limit 1/s --limit-burst 5 -j RETURN
    jak uz tu bylo receno, tak tohle omezi pocet spojeni v ramci celeho serveru ne? Takze v pripade ze mam webserver, to DoS attack spise ulehci... aplikoval bych to spise na ostatni sluzby, ktere vyuzivam jen ja, to jest vse krom portu 80, ale tim si take nejsem jist, kdyz uz bude nekdo utocit tak zautoci nejspis na 80 ku...
    Max avatar 6.9.2006 22:17 Max | skóre: 66 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DoS attack
    Tak tak. Ještě bych to asi doladil tak, že bych specifikoval porty, na které se bude limit vztahovat, asi něco jako "!ssh". ssh by jsi měl ošetřené např. z jedné IP, či lokální sítě a apod, takže tam by DoS nehrozil. Jak už jsem psal, zkus kouknout na xinetd ;-). Pak je ještě možnost omezit počet spojení na IP, to už by mohlo být lepší řešení :), ale hůře proveditelné ...
    Zdar Max
    Měl jsem sen ... :(
    6.9.2006 18:10 smrtak_
    Rozbalit Rozbalit vše Re: DoS attack
    Tak az teprve ted jsem se dostal k dokumentaci systemu , k sekci security, uf myslim, ze mam do Vanoc co delat :) Kdyz opomenu takove zakladni veci, ktere jsem od instalace neudelal...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.