abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 20:55 | Komunita

Od 18. do 21. května proběhla v Saint-Étienne Linux Audio Conference 2017. Na programu byla řada zajímavých přednášek a seminářů. Videozáznamy přednášek lze zhlédnout na YouTube. K dispozici jsou také články a prezentace.

Ladislav Hagara | Komentářů: 0
včera 20:44 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, překonala hranici 2 200 dolarů. Za posledních 30 dnů tak vzrostla přibližně o 80 % [reddit].

Ladislav Hagara | Komentářů: 0
včera 17:33 | Nová verze

Po 5 měsících vývoje od vydání verze 0.12.0 byla vydána verze 0.13.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 83 vývojářů. Přibylo 840 nových balíčků. Jejich aktuální počet je 5 454. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 17:22 | Nová verze

Po 5 měsících vývoje a 3 týdnech intenzivního testování byla vydána verze 12 open source systému Nextcloud, forku ownCloudu, umožňujícího provoz vlastního cloudového úložiště. Přehled novinek i s videoukázkami v poznámkách k vydání. Pro vyzkoušení je k dispozici demo.

Ladislav Hagara | Komentářů: 2
včera 11:44 | Zajímavý článek

Týden po prvním číslu publikoval Michal Špaček na svých stránkách druhé číslo newsletteru věnovanému bezpečnosti, bezpečnému vývoji převážně webových aplikací a bezpečnosti uživatelů. Věnuje se výpadku Let's Encrypt, únikům dat, bug bounty pro WordPress nebo SQL Injection v Joomla. Zmiňuje také, že Mozilla plánuje z Firefoxu odstranit podporu pro Encrypted Media Extensions (EME) na nešifrovaném HTTP a nadále pro EME vyžadovat HTTPS.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Pozvánky

Ve středu 31. května 2017 od 17:00 proběhne v pražské pobočce SUSE Den otevřených dveří v SUSE. Čekají vás přednášky o live kernel patchingu a nástroji SaltStack. Také se dozvíte zajímavé informace o SUSE, openSUSE, a vlastně všech produktech, na kterých lidé ze SUSE pracují.

Ladislav Hagara | Komentářů: 4
včera 01:00 | Pozvánky

Czech JBoss User Group srdečně zve na setkání JBUG v Brně, které se koná ve středu 7. června 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Tomáš Livora na téma Fault Tolerance with Hystrix. Více informací na Facebooku a Twitteru #jbugcz.

mjedlick | Komentářů: 0
19.5. 23:22 | Zajímavý projekt

Na Texture Ninja je volně k dispozici více než 4 tisíce textur. Autora lze podpořit na Patreonu.

Ladislav Hagara | Komentářů: 0
19.5. 10:22 | Pozvánky

Mozilla.cz zve na MozBeer Prague #2. Druhé setkání Mozilla.cz proběhne 26. května od 18:00 v Praze v Diversion Bistru v ulici Mělnická.

Ladislav Hagara | Komentářů: 0
18.5. 23:22 | Bezpečnostní upozornění

Průvodce restauracemi Zomato, jenž v roce 2014 koupil Lunchtime.cz, potvrdil bezpečnostní problém. Odcizeno bylo 17 miliónů záznamů o uživatelích (jména, emailové adresy, osolené hashe).

Ladislav Hagara | Komentářů: 8
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 588 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: iptables DoS

    3.6.2011 11:30 six6
    iptables DoS
    Přečteno: 499×
    snazim se vytvorit nejakou ochranu proti DoS utokum na server s Debianem. Lze ji udelat timto zpusobem?:

    iptables -t nat -N syn-flood
    iptables -t nat -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
    iptables -t nat -A syn-flood -j RETURN

    diky

    Odpovědi

    3.6.2011 11:55 NN
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud chces byt presny tak musis priznak SYN nekde specifikovat:
    -p tcp --syn
    
    Jinak je odpoved v podstate, ano.

    NN
    3.6.2011 13:14 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Nedávejte to do tabulky nat, ale do výchozí tabulky. Někde také musíte tu komunikaci do řetězce syn-flood přesměrovat. Pak také musíte některé pakety odmítnout – když dáte do všech pravidel v řetězci RETURN, jenom donutíte jádro udělat ta porovnání, ale paket projde. Poslední pravidlo s -j RETURN je zbytečné – když paket projde až na konec řetězce, vrátí se zpracování do nadřazeného řetězce tak jako tak.

    Nakonec asi to nejdůležitější – mám pochybnosti o smysluplnosti takového řešení. Obrana proti DoS útoku na firewallu na cílovém stroji má pouze velice úzké pásmo účinnosti – pokrývá prakticky jen případ, kdy komunikaci ještě stíhá zpracovat jádro, ale už by se nestíhalo předávat to do uživatelského prostoru. Pokud se ještě stíhá předávat do uživatelského prostoru, je lepší udělat obranu tam, protože daná aplikace asi komunikaci rozumí lépe a ví, co má odmítnou, aby to mělo nejmenší následky. Naopak když už nebude stíhat ani jádro, pravidla na vnitřním firewallu to nezachrání (naopak situaci zhorší, protože přidají jádru práci navíc).
    3.6.2011 20:09 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    OK, kdyz to nedam do tabulky NAT, tak bych mohl v poslednim pravidlu nahradit RETURN a pouzit DROP. Bohuzel nemam moznost pripojit pred server cokoliv, na cem bude rozbehnuty firewall. Takze jedine reseni pro me je na urovni aplikace i za pouziti DROP v poslednim pravidlu? V pripade, ze bude pakety rovnou zahazovat, tak bude vytizeni mensi, nebo se pletu a stale to nadela vice skody nez uzitku?
    3.6.2011 20:35 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud se DoS útoků obáváte a potřebujete se před nimi bránit (protože někdo tvrdí, že každá sekunda výpadku vás stojí XY peněz), měl byste zvážit nějaké opravdové řešení. Pokud jste si jen o DoS útocích něco přečetl a chcete se jim nějak bránit pro dobrý pocit, spíš bych to nechal být. Myslím, že jsou užitečnější věci, které serveru prospějí víc – třeba spolehlivější zálohování, testovací prostředí pro ověřování změn. Nebo pokud jste i autorem aplikace, pak třeba detekce přetížení a přechod do nějakého nouzového režimu.

    Pokud na vás bude někdo dělat DoS útok, tak stačí jednoduše zablokovat příslušnou IP adresu. A pokud to bude DDoS, stejně vás může zachránit jedině ISP.
    vencour avatar 3.6.2011 20:25 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables DoS

    Někdy cca od ledna do března jsem narazil na text, kde někdo tvrdil, že přežil masivní DoS, když nahradil DROP za pomoci -j REJECT --reject-with icmp-net-unreachable, někdo mu útočil na apache, tak spočítal/vypsal spojení z jedné IP adresy, ty přidal do iptables s timhle atributem a linux přežil tam, kde komerční firewally padaly ...

    Nemam to ověřený, jak jsem dostal, v rss čtečce mam asi 10 zdrojů ... teď jsem to nenašel.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    4.6.2011 16:06 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    ok, takhle me to staci...diky vsem
    MMMMMMMMM avatar 4.6.2011 20:58 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: iptables DoS
    V práci mám vlastní server, kde si vyvíjím a je to v podstatě kopie produkčního serveru. Mám tam sice firewall v iptables, ale proti SYN floodu je to k ničemu. Ať jsem zkoušel kombinovat jak chtěl, pokud z druhého serveru (v rámci LAN) spustím synflood, server jde do kytek. :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.