abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:55 | Komunita

Ubuntu 17.10 (Artful Aardvark) bude ve výchozím stavu zobrazovat Dok (Launcher). Jedná se o rozšíření GNOME Shellu Ubuntu Dock. To bylo forknuto z rozšíření Dash to Dock. Ukázka na YouTube [reddit].

Ladislav Hagara | Komentářů: 0
17.8. 15:33 | Nová verze

Byla vydána verze 17.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace kmag, kmousetool, kgoldrunner, kigo, konquest, kreversi, ksnakeduel, kspaceduel, ksudoku, kubrick, lskat a umbrello byly portovány na KDE Frameworks 5.

Ladislav Hagara | Komentářů: 0
17.8. 15:11 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-08-16 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Nejnovější Raspbian je založen na Debianu 9 Stretch. Přehled novinek v poznámkách k vydání. Řešena je také bezpečnostní chyba Broadpwn (CVE-2017-9417).

Ladislav Hagara | Komentářů: 1
17.8. 12:33 | Nová verze

Byla vydána verze 3.2.0 programu pro skicování, malování a úpravu obrázků Krita. Přehled novinek v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
17.8. 11:44 | IT novinky

Minulý týden na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. V nejnovějším příspěvku na blogu se organizace OpenAI o projektu více rozepsala a zveřejnila videozáznamy několika soubojů.

Ladislav Hagara | Komentářů: 7
16.8. 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
16.8. 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 8
16.8. 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 1
15.8. 22:00 | Zajímavý projekt

V roce 2013 proběhla na Kickstarteru úspěšná kampaň na podporu otevřeného Dobře temperovaného klavíru (Well-Tempered Clavier). Stejný tým s Kimiko Išizaka spustil před týdnem na Kickstarteru kampaň Libre Art of the Fugue na podporu svobodného Umění fugy.

Ladislav Hagara | Komentářů: 2
15.8. 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 143. brněnský sraz, který proběhne v pátek 18. srpna od 18:00 hodin ve sportovním areálu a restauraci BeachPub Sokolák u Brněnské přehrady aneb v hantecu u Prýglu.

Ladislav Hagara | Komentářů: 0
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (76%)
Celkem 353 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: iptables DoS

    3.6.2011 11:30 six6
    iptables DoS
    Přečteno: 499×
    snazim se vytvorit nejakou ochranu proti DoS utokum na server s Debianem. Lze ji udelat timto zpusobem?:

    iptables -t nat -N syn-flood
    iptables -t nat -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
    iptables -t nat -A syn-flood -j RETURN

    diky

    Odpovědi

    3.6.2011 11:55 NN
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud chces byt presny tak musis priznak SYN nekde specifikovat:
    -p tcp --syn
    
    Jinak je odpoved v podstate, ano.

    NN
    3.6.2011 13:14 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Nedávejte to do tabulky nat, ale do výchozí tabulky. Někde také musíte tu komunikaci do řetězce syn-flood přesměrovat. Pak také musíte některé pakety odmítnout – když dáte do všech pravidel v řetězci RETURN, jenom donutíte jádro udělat ta porovnání, ale paket projde. Poslední pravidlo s -j RETURN je zbytečné – když paket projde až na konec řetězce, vrátí se zpracování do nadřazeného řetězce tak jako tak.

    Nakonec asi to nejdůležitější – mám pochybnosti o smysluplnosti takového řešení. Obrana proti DoS útoku na firewallu na cílovém stroji má pouze velice úzké pásmo účinnosti – pokrývá prakticky jen případ, kdy komunikaci ještě stíhá zpracovat jádro, ale už by se nestíhalo předávat to do uživatelského prostoru. Pokud se ještě stíhá předávat do uživatelského prostoru, je lepší udělat obranu tam, protože daná aplikace asi komunikaci rozumí lépe a ví, co má odmítnou, aby to mělo nejmenší následky. Naopak když už nebude stíhat ani jádro, pravidla na vnitřním firewallu to nezachrání (naopak situaci zhorší, protože přidají jádru práci navíc).
    3.6.2011 20:09 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    OK, kdyz to nedam do tabulky NAT, tak bych mohl v poslednim pravidlu nahradit RETURN a pouzit DROP. Bohuzel nemam moznost pripojit pred server cokoliv, na cem bude rozbehnuty firewall. Takze jedine reseni pro me je na urovni aplikace i za pouziti DROP v poslednim pravidlu? V pripade, ze bude pakety rovnou zahazovat, tak bude vytizeni mensi, nebo se pletu a stale to nadela vice skody nez uzitku?
    3.6.2011 20:35 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud se DoS útoků obáváte a potřebujete se před nimi bránit (protože někdo tvrdí, že každá sekunda výpadku vás stojí XY peněz), měl byste zvážit nějaké opravdové řešení. Pokud jste si jen o DoS útocích něco přečetl a chcete se jim nějak bránit pro dobrý pocit, spíš bych to nechal být. Myslím, že jsou užitečnější věci, které serveru prospějí víc – třeba spolehlivější zálohování, testovací prostředí pro ověřování změn. Nebo pokud jste i autorem aplikace, pak třeba detekce přetížení a přechod do nějakého nouzového režimu.

    Pokud na vás bude někdo dělat DoS útok, tak stačí jednoduše zablokovat příslušnou IP adresu. A pokud to bude DDoS, stejně vás může zachránit jedině ISP.
    vencour avatar 3.6.2011 20:25 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables DoS

    Někdy cca od ledna do března jsem narazil na text, kde někdo tvrdil, že přežil masivní DoS, když nahradil DROP za pomoci -j REJECT --reject-with icmp-net-unreachable, někdo mu útočil na apache, tak spočítal/vypsal spojení z jedné IP adresy, ty přidal do iptables s timhle atributem a linux přežil tam, kde komerční firewally padaly ...

    Nemam to ověřený, jak jsem dostal, v rss čtečce mam asi 10 zdrojů ... teď jsem to nenašel.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    4.6.2011 16:06 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    ok, takhle me to staci...diky vsem
    MMMMMMMMM avatar 4.6.2011 20:58 MMMMMMMMM | skóre: 42 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: iptables DoS
    V práci mám vlastní server, kde si vyvíjím a je to v podstatě kopie produkčního serveru. Mám tam sice firewall v iptables, ale proti SYN floodu je to k ničemu. Ať jsem zkoušel kombinovat jak chtěl, pokud z druhého serveru (v rámci LAN) spustím synflood, server jde do kytek. :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.