abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 21:11 | Komunita

Ke zhlédnutí jsou videozáznamy přednášek z konferencí All Systems Go! (media.ccc.de) a GStreamer Conference 2017 (ubicast.tv) konaných o víkendu 21. a 22. října. All Systems Go! v Berlíně a GStreamer Conference 2017 v Praze.

Ladislav Hagara | Komentářů: 0
dnes 20:33 | Komunita

MojeFedora.cz informuje (en), že Fedora 27 přináší snadný přístup k Red Hat Enteprise Linuxu. Virtualizační nástroj Boxy nyní umožňuje jednoduše stáhnout a nainstalovat Red Hat Enterprise Linux, který je pro vývojáře zdarma. Vytvořit lze neomezené množství virtuálních mašin s RHEL.

Ladislav Hagara | Komentářů: 1
dnes 19:00 | Komunita

Konsorcium Linux Foundation oficiálně představilo licence pro komunitní otevřená data Community Data License Agreement (CDLA). První licence je copyleftová CDLA-Sharing a druhá permisivní CDLA-Permissive. Odpovědi na často kladené otázky ve FAQ.

Ladislav Hagara | Komentářů: 0
dnes 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. pražský sraz, který proběhne ve čtvrtek 26. října od 18:00 hodin v karlínském Pivovarském klubu. Najdete jej kousek od metra Florenc na adrese Křižíkova 17, Praha 8. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Zajímavý software

Byla vydána verze 0.56 open source platformy Home Assistant (GitHub) pro monitorování a řízení inteligentní domácnosti naprogramované v programovacím jazyce Python verze 3 a bežící také například na Raspberry Pi. Pro vyzkoušení je k dispozici demo [reddit].

Ladislav Hagara | Komentářů: 0
včera 16:55 | Nová verze

Byla vydána verze 1.0 klienta F-Droid určeného pro instalaci aplikací do Androidu ze softwarového repozitáře F-Droid (Wikipedie), alternativy k Google Play, nabízející pouze svobodný a otevřený software. Podrobnosti v přehledu změn [Hacker News].

Ladislav Hagara | Komentářů: 6
včera 00:55 | Nová verze

Po téměř 13 měsících vývoje od verze 0.11.0 byla vydána verze 0.12.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 10
21.10. 12:33 | Zajímavý software

Článek ne Medium představuje nejnovější stabilní verzi 2.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu [Hacker News].

Ladislav Hagara | Komentářů: 0
21.10. 06:00 | Komunita

V Praze na půdě Elektrotechnické fakulty ČVUT dnes probíhá RT-Summit 2017 – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt. Přednášky lze sledovat online na YouTube.

Ladislav Hagara | Komentářů: 0
20.10. 14:33 | Zajímavý projekt

Blender Animation Studio zveřejnilo první epizodu z připravovaného animovaného seriálu The Daily Dweebs o domácím mazlíčkovi jménem Dixey. Ke zhlédnutí také ve 3D s rozlišením 8K.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (0%)
 (0%)
 (1%)
 (75%)
 (13%)
Celkem 232 hlasů
 Komentářů: 8, poslední včera 23:02
    Rozcestník

    Dotaz: iptables DoS

    3.6.2011 11:30 six6
    iptables DoS
    Přečteno: 499×
    snazim se vytvorit nejakou ochranu proti DoS utokum na server s Debianem. Lze ji udelat timto zpusobem?:

    iptables -t nat -N syn-flood
    iptables -t nat -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
    iptables -t nat -A syn-flood -j RETURN

    diky

    Odpovědi

    3.6.2011 11:55 NN
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud chces byt presny tak musis priznak SYN nekde specifikovat:
    -p tcp --syn
    
    Jinak je odpoved v podstate, ano.

    NN
    3.6.2011 13:14 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Nedávejte to do tabulky nat, ale do výchozí tabulky. Někde také musíte tu komunikaci do řetězce syn-flood přesměrovat. Pak také musíte některé pakety odmítnout – když dáte do všech pravidel v řetězci RETURN, jenom donutíte jádro udělat ta porovnání, ale paket projde. Poslední pravidlo s -j RETURN je zbytečné – když paket projde až na konec řetězce, vrátí se zpracování do nadřazeného řetězce tak jako tak.

    Nakonec asi to nejdůležitější – mám pochybnosti o smysluplnosti takového řešení. Obrana proti DoS útoku na firewallu na cílovém stroji má pouze velice úzké pásmo účinnosti – pokrývá prakticky jen případ, kdy komunikaci ještě stíhá zpracovat jádro, ale už by se nestíhalo předávat to do uživatelského prostoru. Pokud se ještě stíhá předávat do uživatelského prostoru, je lepší udělat obranu tam, protože daná aplikace asi komunikaci rozumí lépe a ví, co má odmítnou, aby to mělo nejmenší následky. Naopak když už nebude stíhat ani jádro, pravidla na vnitřním firewallu to nezachrání (naopak situaci zhorší, protože přidají jádru práci navíc).
    3.6.2011 20:09 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    OK, kdyz to nedam do tabulky NAT, tak bych mohl v poslednim pravidlu nahradit RETURN a pouzit DROP. Bohuzel nemam moznost pripojit pred server cokoliv, na cem bude rozbehnuty firewall. Takze jedine reseni pro me je na urovni aplikace i za pouziti DROP v poslednim pravidlu? V pripade, ze bude pakety rovnou zahazovat, tak bude vytizeni mensi, nebo se pletu a stale to nadela vice skody nez uzitku?
    3.6.2011 20:35 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud se DoS útoků obáváte a potřebujete se před nimi bránit (protože někdo tvrdí, že každá sekunda výpadku vás stojí XY peněz), měl byste zvážit nějaké opravdové řešení. Pokud jste si jen o DoS útocích něco přečetl a chcete se jim nějak bránit pro dobrý pocit, spíš bych to nechal být. Myslím, že jsou užitečnější věci, které serveru prospějí víc – třeba spolehlivější zálohování, testovací prostředí pro ověřování změn. Nebo pokud jste i autorem aplikace, pak třeba detekce přetížení a přechod do nějakého nouzového režimu.

    Pokud na vás bude někdo dělat DoS útok, tak stačí jednoduše zablokovat příslušnou IP adresu. A pokud to bude DDoS, stejně vás může zachránit jedině ISP.
    vencour avatar 3.6.2011 20:25 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables DoS

    Někdy cca od ledna do března jsem narazil na text, kde někdo tvrdil, že přežil masivní DoS, když nahradil DROP za pomoci -j REJECT --reject-with icmp-net-unreachable, někdo mu útočil na apache, tak spočítal/vypsal spojení z jedné IP adresy, ty přidal do iptables s timhle atributem a linux přežil tam, kde komerční firewally padaly ...

    Nemam to ověřený, jak jsem dostal, v rss čtečce mam asi 10 zdrojů ... teď jsem to nenašel.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    4.6.2011 16:06 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    ok, takhle me to staci...diky vsem
    MMMMMMMMM avatar 4.6.2011 20:58 MMMMMMMMM | skóre: 42 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: iptables DoS
    V práci mám vlastní server, kde si vyvíjím a je to v podstatě kopie produkčního serveru. Mám tam sice firewall v iptables, ale proti SYN floodu je to k ničemu. Ať jsem zkoušel kombinovat jak chtěl, pokud z druhého serveru (v rámci LAN) spustím synflood, server jde do kytek. :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.