abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 19:46 | Nová verze

dnsdist, specializovaný balancer pro DNS provoz, dosáhl stabilní verze 1.2.0. Tento software vyvíjí komunita kolem PowerDNS a neměl by uniknout pozornosti nikomu, kdo provozuje vytíženější rekurzivní DNS servery. Balancer je vhodný k obraně před DDoS útoky, je skriptovatelný v LUA, disponuje konzolovým rozhraním a má spoustu dalších zajímavých vlastností.

… více »
BigWrigley | Komentářů: 0
včera 15:22 | Nová verze

Byla vydána verze 9.5 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu. Zdůraznit lze možnost ověřování GPG podpisů u commitů.

Ladislav Hagara | Komentářů: 2
22.8. 16:22 | Nová verze

Byla vydána verze 0.11.0 softwaru pro statistickou analýzu dat GNU PSPP (Wikipedie), svobodné alternativy k proprietárnímu softwaru IBM SPSS Statistics (Wikipedie). Vedle několika vylepšení a oprav chyb jsou řešeny také 2 bezpečnostní chyby CVE-2017-10791 a CVE-2017-10792. O týden později byla vydána verze 1.0.0 přinášející pouze aktualizaci překladů. Proč verze 1.0.0 a ne například 0.11.1? Dle vývojářů jsou důvody následující:

… více »
Ladislav Hagara | Komentářů: 0
22.8. 10:35 | Komunita

Na blogu Oracle se objevila zpráva o tom, že plánovaná verze Java EE 8 bude uvolněna jako open source (referenční implementace a compatibility kit). V současné době je uvolněna jen Java SE (standard edition) pod licencí GPLv2 v podobě OpenJDK (Open Java Development Kit), kterou začal v roce 2006 uvolňovat Sun.

Max | Komentářů: 4
21.8. 23:55 | IT novinky

Google na YouTube oficiálně představil Android 8.0 Oreo. Přehled novinek v příspěvku na blogu věnovaném vývojářům.

Ladislav Hagara | Komentářů: 33
21.8. 16:44 | Zajímavý článek

Po téměř 3 měsících od vydání třetího čísla publikoval Michal Špaček na svých stránkách čtvrté číslo newsletteru věnovanému bezpečnosti, bezpečnému vývoji převážně webových aplikací a bezpečnosti uživatelů. Jedná se současně o číslo poslední: "Nepíše se mi to lehce, a trvalo to, než jsem to ze sebe dostal, ale tohle je poslední newsletter v této podobě. Ani jsem ho nestihl pojmenovat a už jsem ho zabil. Nezbývá mi tolik času, abych každou událost, novinku a změnu v prohlížeči detailně popisoval tak, jak bych v newsletteru chtěl, mrzí mě to".

Ladislav Hagara | Komentářů: 2
21.8. 07:00 | Nová verze

Byla vydána diaspora* ve verzi 0.7.0.0. Jedná se o svobodný software, který slouží jako osobní webový server pro poskytování služeb sociální sítě (Wikipedie). Přehled novinek v příspěvku na blogu a na GitHubu. Sociální síť diaspora* byla před pěti lety předána komunitě.

Ladislav Hagara | Komentářů: 0
21.8. 06:00 | IT novinky

Společnost Hardkernel stojící za jednodeskovými počítači ODROID představila na YouTube minipočítač určený pro domácí cloud ODROID-HC1 vycházející z ODROID-XU4. Minipočítač s kovovou krabičkou, do které stačí vložit 2 a půl palcový disk, lze koupit za 49 dolarů. ODROID-HC1 je stohovatelný.

Ladislav Hagara | Komentářů: 39
20.8. 16:22 | Nová verze

Byl vydán DB Browser for SQLite (sqlitebrowser) ve verzi 3.10.0. Nejnovější stabilní verze této grafické nadstavby nad relačním databázovým systémem SQLite (Wikipedie) přináší například integraci s DBHub.io, tj. platformou pro sdílení SQLite databází. Podrobnosti na GitHubu.

Ladislav Hagara | Komentářů: 2
20.8. 08:00 | IT novinky

Andy Rubin, spoluzakladatel společnosti Android, jež byla v roce 2005 koupena Googlem, nyní CEO společnosti Essential Products, oznámil předprodej chytrého telefonu Essential. Telefon se začne rozesílat 1. září. Cena telefonu je 699 dolarů. Cena telefonu současně s 360° kamerou s rozlišením 4K byla stanovena na 749 dolarů. Kameru, v budoucnu i další příslušenství, lze k telefonu připojit pomocí konektoru s magnety.

Ladislav Hagara | Komentářů: 1
Těžíte nějakou kryptoměnu?
 (5%)
 (2%)
 (18%)
 (76%)
Celkem 374 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: TCP syn flood mi na chvíli "usmrtil" firewall, proč?

    6.10.2015 20:50 dd
    TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Přečteno: 294×
    Ahoj, mám následující síť:

       internet
          |
          |
         eth0
          |
    router+firewall
      |           |
    eth1         eth2
      |           |
      |           |
    (DMZ )       (vnitrni sit, klienti, monitoring server)
    (web, ..)
    
    Z internetu router natuje provoz do vnitřní sítě přes eth2. Přes eth1 routuje do DMZ, kde je web, mail apod. Na web server byl několikaminutový SYN flood útok, provoz cca 60 Mbit/s (nevím přesně, většinu útoku byl router pro monitoring server nedostupný). Na web serveru se objevilo v logu:
    Oct  6 15:19:00 web kernel: possible SYN flooding on port 80. Sending cookies.
    ...
    
    Jenže na routeru/firewallu, kde je několik pravidel typu max. počet spojení za minutu ze zdrojové IP adresy se objevilo toto:
    Oct  6 15:19:10 r kernel: martian source .....
    Oct  6 15:19:10 r kernel: ll header: ....
    Oct  6 15:19:15 r kernel: __ratelimit: 20252 callbacks suppressed
    Oct  6 15:19:15 r kernel: xt_hashlimit: max count of 65536 reached
    Oct  6 15:19:15 r kernel: xt_hashlimit: max count of 65536 reached
    ....
    
    Myslím si, že xt_hashlimit to hlásí z toho důvodu, že TCP syn flood byl z moc IP najednou a pravidla na omezení počtu spojení za minutu na zdrojovou adresu vytváří každé jedno záznam v hash tabulce a ta se prostě zaplnila. OK. Jenže jedna otázka je - jak ty tabulky defaultně zvětšit, druhá zásadnější - proč byly nedostupné všechny stroje v DMZ? Hash tabulky se vztahují ke konkrétnímu pravidlu na web tak proč to ovlivnilo i ostatní servery a zapříčinilo nedostupnost routeru?

    Odpovědi

    6.10.2015 21:23 GeorgeWH | skóre: 36
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    jak ty tabulky defaultně zvětšit

    iptables
    6.10.2015 21:58 dd
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Takže jedině překompilovat iptables nebo pokaždé specifikovat velikost? A je to tak, že 2 různá pravidla = 2 tabulky, tzn. nesdílí se to a proto je divné, proč byl router úplně nedostupný? ...
    6.10.2015 22:13 GeorgeWH | skóre: 36
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    6.10.2015 21:59 Petr Holik
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Ahoj,

    vezmu to postupne:
    • martian source ..... -> dorazil paket co by na prislusny interface dorazit nemel viz Martian_packet
    • __ratelimit: 20252 callbacks suppressed -> omezeni potu logovanych zprav kernel -> syslog da se vypnout pomoci sysctl -w net.core.message_cost=0
    • xt_hashlimit: max count of 65536 reached -> prekrocen maximalni pocet zaznamu v hashtabulce - da se zvetsit --hashlimit-htable-max XYZ je vhodne take pak umerne navysit i --hashlimit-htable-size
    Dalsi vec je, ze pokud mas zapnuty connection tracking, tak to je take potreba zvysit, jinac to take vetsi pocet spojeni nezvladne sysctl net.ipv4.netfilter.ip_conntrack_max defaultne cca 65k

    60Mbit: 1024 * 1024 * 60 / 8 / 60 bajtu (cca velikost TCP SYN paketu) = 131 172 SYN paketu za sekundu := to je cca sakra hodne :) Pokud se dobre pomatuju, radove 30Mbit SYN znedostupnilo relativne nedavno docela velke zpravodajske weby. zvlast, kdyz pro kazdy paket se musi divat do hashtabulky a hledat naky omezeni.

    Muzes vyzkouset iptables -A XYZ -p tcp --syn -m limit --limit X/s mohlo by se chovat lepe. Ale obecne, pokud nemas hodne zeleza a casu experimentovat, tak se tomu brani dost tezko(pokud teda nepouzijes neco ve stylu https://www.cloudflare.com/ a podobne.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.