abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:33 | Zajímavý software

    Byl představen Stremio OS pro Raspberry Pi 5 a 4, tj. operační systém postavený nad LineageOS 21 s multimediálním centrem Stremio. Stremio lze instalovat také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 16:33 | Nová verze

    Po půl roce od vydání verze 2.39 byla vydána nová verze 2.40 knihovny glibc (GNU C Library). Přehled novinek v poznámkách k vydání a v souboru NEWS. Opraveno bylo 5 zranitelností (CVE).

    Ladislav Hagara | Komentářů: 0
    včera 15:33 | Pozvánky

    GNU Tools Cauldron 2024 proběhne v Praze na Univerzitě Karlově od 14. do 16. září 2024.

    Ladislav Hagara | Komentářů: 0
    21.7. 05:00 | Nová verze

    OpenMandriva ROME, tj. průběžně aktualizovaná (rolling) edice linuxové distribuce OpenMandriva, byla vydána ve verzi 24.07. S KDE Plasma 6 a spiny LXQt (2.0.0 Qt6) a GNOME (46.3). Vydáno bylo také ROME Plasma6 Wayland ISO. Vývojáři ale nepovažují Wayland za dostatečně vyspělý, aby mohl nahradit X11 pro většinu uživatelů. Linux byl povýšen na verzi 6.10. Přeložen je Clangem.

    Ladislav Hagara | Komentářů: 11
    21.7. 01:00 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 0
    19.7. 10:49 | IT novinky

    Světem se valí vlna BSOD počítačů s operačním systémem Windows v kombinaci s bezpečnostním agentem CrowdStrike. Částečně jsou ochromeny letiště, banky, burzy, Microsoft Cloud apod. Zatím je znám jen workaround v podobě nabootování do recovery režimu a smazání jednoho souboru.

    karkar | Komentářů: 125
    18.7. 23:44 | Komunita

    Nezisková organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo a brand. Minimálně z loga odstraní indiánské pírko. Nové logo a brand představí na své konferenci Community Over Code v říjnu letošního roku. Ta byla ještě nedávno známá jako ApacheCon.

    Ladislav Hagara | Komentářů: 68
    18.7. 19:00 | Nová verze

    Sound Open Firmware, projekt Linux Foundation, open source audio DSP firmware a SDK, byl vydán ve verzi 2.10.0. Podrobný přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 1
    18.7. 10:33 | Komunita

    Společnost Nvidia na svém technickém blogu informuje o přechodu na open source moduly jádra pro GPU (představila je v květnu 2022). Na nejnovějších platformách Grace Hopper nebo Blackwell lze používat pouze open source moduly. Pro Turing, Ampere, Ada Lovelace nebo Hopper se doporučuje přejít na open source moduly, v oficiálním instalátoru si lze vybrat mezi proprietárním a open source modulem. Nejstarší Maxwell, Pascal nebo Volta vyžadují proprietární ovladače.

    Ladislav Hagara | Komentářů: 0
    18.7. 00:11 | Zajímavý článek

    Příspěvek na blogu společnosti Wiz se podrobně věnuje dnes již opraveným zranitelnostem v SAP AI. Útočník si mohl změnit své UID na UID firewallu, tj. 1337, a tím obejít firewall, …

    Ladislav Hagara | Komentářů: 0
    Rozcestník

    Dotaz: iptables DoS

    3.6.2011 11:30 six6
    iptables DoS
    Přečteno: 518×
    snazim se vytvorit nejakou ochranu proti DoS utokum na server s Debianem. Lze ji udelat timto zpusobem?:

    iptables -t nat -N syn-flood
    iptables -t nat -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
    iptables -t nat -A syn-flood -j RETURN

    diky

    Odpovědi

    3.6.2011 11:55 NN
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud chces byt presny tak musis priznak SYN nekde specifikovat:
    -p tcp --syn
    
    Jinak je odpoved v podstate, ano.

    NN
    3.6.2011 13:14 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Nedávejte to do tabulky nat, ale do výchozí tabulky. Někde také musíte tu komunikaci do řetězce syn-flood přesměrovat. Pak také musíte některé pakety odmítnout – když dáte do všech pravidel v řetězci RETURN, jenom donutíte jádro udělat ta porovnání, ale paket projde. Poslední pravidlo s -j RETURN je zbytečné – když paket projde až na konec řetězce, vrátí se zpracování do nadřazeného řetězce tak jako tak.

    Nakonec asi to nejdůležitější – mám pochybnosti o smysluplnosti takového řešení. Obrana proti DoS útoku na firewallu na cílovém stroji má pouze velice úzké pásmo účinnosti – pokrývá prakticky jen případ, kdy komunikaci ještě stíhá zpracovat jádro, ale už by se nestíhalo předávat to do uživatelského prostoru. Pokud se ještě stíhá předávat do uživatelského prostoru, je lepší udělat obranu tam, protože daná aplikace asi komunikaci rozumí lépe a ví, co má odmítnou, aby to mělo nejmenší následky. Naopak když už nebude stíhat ani jádro, pravidla na vnitřním firewallu to nezachrání (naopak situaci zhorší, protože přidají jádru práci navíc).
    3.6.2011 20:09 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    OK, kdyz to nedam do tabulky NAT, tak bych mohl v poslednim pravidlu nahradit RETURN a pouzit DROP. Bohuzel nemam moznost pripojit pred server cokoliv, na cem bude rozbehnuty firewall. Takze jedine reseni pro me je na urovni aplikace i za pouziti DROP v poslednim pravidlu? V pripade, ze bude pakety rovnou zahazovat, tak bude vytizeni mensi, nebo se pletu a stale to nadela vice skody nez uzitku?
    3.6.2011 20:35 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables DoS
    Pokud se DoS útoků obáváte a potřebujete se před nimi bránit (protože někdo tvrdí, že každá sekunda výpadku vás stojí XY peněz), měl byste zvážit nějaké opravdové řešení. Pokud jste si jen o DoS útocích něco přečetl a chcete se jim nějak bránit pro dobrý pocit, spíš bych to nechal být. Myslím, že jsou užitečnější věci, které serveru prospějí víc – třeba spolehlivější zálohování, testovací prostředí pro ověřování změn. Nebo pokud jste i autorem aplikace, pak třeba detekce přetížení a přechod do nějakého nouzového režimu.

    Pokud na vás bude někdo dělat DoS útok, tak stačí jednoduše zablokovat příslušnou IP adresu. A pokud to bude DDoS, stejně vás může zachránit jedině ISP.
    vencour avatar 3.6.2011 20:25 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables DoS

    Někdy cca od ledna do března jsem narazil na text, kde někdo tvrdil, že přežil masivní DoS, když nahradil DROP za pomoci -j REJECT --reject-with icmp-net-unreachable, někdo mu útočil na apache, tak spočítal/vypsal spojení z jedné IP adresy, ty přidal do iptables s timhle atributem a linux přežil tam, kde komerční firewally padaly ...

    Nemam to ověřený, jak jsem dostal, v rss čtečce mam asi 10 zdrojů ... teď jsem to nenašel.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    4.6.2011 16:06 six6
    Rozbalit Rozbalit vše Re: iptables DoS
    ok, takhle me to staci...diky vsem
    MMMMMMMMM avatar 4.6.2011 20:58 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: iptables DoS
    V práci mám vlastní server, kde si vyvíjím a je to v podstatě kopie produkčního serveru. Mám tam sice firewall v iptables, ale proti SYN floodu je to k ničemu. Ať jsem zkoušel kombinovat jak chtěl, pokud z druhého serveru (v rámci LAN) spustím synflood, server jde do kytek. :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.