abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    1272 projektů (vývojářů) přijatých do Google Summer of Code 2025
    dnes 15:22 | Komunita

    Google zveřejnil seznam 1272 projektů (vývojářů) od 185 organizací přijatých do letošního, již jednadvacátého, Google Summer of Code. Plánovaným vylepšením v grafických a multimediálních aplikacích se věnuje článek na Libre Arts.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.100
    včera 19:22 | Nová verze

    Byla vydána (𝕏) dubnová aktualizace aneb nová verze 1.100 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.100 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    Home Assistant 2025.5
    včera 18:00 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.5.

    Ladislav Hagara | Komentářů: 0
    OpenSearch 3.0
    včera 01:22 | Nová verze

    OpenSearch (Wikipedie) byl vydán ve verzi 3.0. Podrobnosti v poznámkách k vydání. Jedná se o fork projektů Elasticsearch a Kibana.

    Ladislav Hagara | Komentářů: 0
    PyXL - Python procesor
    včera 00:55 | Zajímavý projekt

    PyXL je koncept procesora, ktorý dokáže priamo spúštat Python kód bez nutnosti prekladu ci Micropythonu. Podľa testov autora je pri 100 MHz približne 30x rýchlejší pri riadeni GPIO nez Micropython na Pyboard taktovanej na 168 MHz.

    vlk | Komentářů: 0
    Grafana 12.0
    7.5. 19:44 | Nová verze

    Grafana (Wikipedie), tj. open source nástroj pro vizualizaci různých metrik a s ní související dotazování, upozorňování a lepší porozumění, byla vydána ve verzi 12.0. Přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi OS 2025-05-06
    7.5. 17:33 | Nová verze

    Raspberry Pi OS, oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2025-05-06. Přehled novinek v příspěvku na blogu Raspberry Pi a poznámkách k vydání. Pravděpodobně se jedná o poslední verzi postavenou na Debianu 12 Bookworm. Následující verze by již měla být postavena na Debianu 13 Trixie.

    Ladislav Hagara | Komentářů: 0
    Richard Stallman dnes v Liberci přednáší o svobodném softwaru a svobodě v digitální společnosti
    7.5. 05:33 | Komunita

    Richard Stallman dnes v Liberci přednáší o svobodném softwaru a svobodě v digitální společnosti. Od 16:30 v aule budovy G na Technické univerzitě v Liberci. V anglickém jazyce s automaticky generovanými českými titulky. Vstup je zdarma i pro širokou veřejnost.

    Ladislav Hagara | Komentářů: 17
    sudo-rs nahradí v Ubuntu 25.10 klasické sudo
    7.5. 03:55 | Komunita

    sudo-rs, tj. sudo a su přepsáné do programovacího jazyka Rust, nahradí v Ubuntu 25.10 klasické sudo. V plánu je také přechod od klasických coreutils k uutils coreutils napsaných v Rustu.

    Ladislav Hagara | Komentářů: 0
    Fedora oficiální distribucí WSL
    6.5. 22:11 | Nasazení Linuxu

    Fedora se stala oficiální distribucí WSL (Windows Subsystem for Linux).

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký filesystém primárně používáte?
     (57%)
     (1%)
     (8%)
     (22%)
     (4%)
     (2%)
     (2%)
     (1%)
     (1%)
     (3%)
    Celkem 564 hlasů
     Komentářů: 26, poslední včera 09:58
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Štítky: firewall, hash, Internet, mail, následující, port, pravidla, router, server, síť, sítě, spojení, TCP, web

    Dotaz: TCP syn flood mi na chvíli "usmrtil" firewall, proč?

    6.10.2015 20:50 dd
    TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Přečteno: 502×
    Ahoj, mám následující síť: 

       internet
      |
      |
     eth0
      |
router+firewall
  |           |
eth1         eth2
  |           |
  |           |
(DMZ )       (vnitrni sit, klienti, monitoring server)
(web, ..)
    Z internetu router natuje provoz do vnitřní sítě přes eth2. Přes eth1 routuje do DMZ, kde je web, mail apod. Na web server byl několikaminutový SYN flood útok, provoz cca 60 Mbit/s (nevím přesně, většinu útoku byl router pro monitoring server nedostupný). Na web serveru se objevilo v logu: 
    Oct  6 15:19:00 web kernel: possible SYN flooding on port 80. Sending cookies.
...
    Jenže na routeru/firewallu, kde je několik pravidel typu max. počet spojení za minutu ze zdrojové IP adresy se objevilo toto: 
    Oct  6 15:19:10 r kernel: martian source .....
Oct  6 15:19:10 r kernel: ll header: ....
Oct  6 15:19:15 r kernel: __ratelimit: 20252 callbacks suppressed
Oct  6 15:19:15 r kernel: xt_hashlimit: max count of 65536 reached
Oct  6 15:19:15 r kernel: xt_hashlimit: max count of 65536 reached
....
    Myslím si, že xt_hashlimit to hlásí z toho důvodu, že TCP syn flood byl z moc IP najednou a pravidla na omezení počtu spojení za minutu na zdrojovou adresu vytváří každé jedno záznam v hash tabulce a ta se prostě zaplnila. OK. Jenže jedna otázka je - jak ty tabulky defaultně zvětšit, druhá zásadnější - proč byly nedostupné všechny stroje v DMZ? Hash tabulky se vztahují ke konkrétnímu pravidlu na web tak proč to ovlivnilo i ostatní servery a zapříčinilo nedostupnost routeru?
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    6.10.2015 21:23 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    jak ty tabulky defaultně zvětšit

    iptables
    6.10.2015 21:58 dd
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Takže jedině překompilovat iptables nebo pokaždé specifikovat velikost? A je to tak, že 2 různá pravidla = 2 tabulky, tzn. nesdílí se to a proto je divné, proč byl router úplně nedostupný? ...
    6.10.2015 22:13 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    http://tlfabian.blogspot.sk/2014/06/how-does-iptables-hashlimit-module-work.html
    6.10.2015 21:59 Petr Holik
    Rozbalit Rozbalit vše Re: TCP syn flood mi na chvíli "usmrtil" firewall, proč?
    Ahoj,

    vezmu to postupne:
    • martian source ..... -> dorazil paket co by na prislusny interface dorazit nemel viz Martian_packet
    • __ratelimit: 20252 callbacks suppressed -> omezeni potu logovanych zprav kernel -> syslog da se vypnout pomoci sysctl -w net.core.message_cost=0
    • xt_hashlimit: max count of 65536 reached -> prekrocen maximalni pocet zaznamu v hashtabulce - da se zvetsit --hashlimit-htable-max XYZ je vhodne take pak umerne navysit i --hashlimit-htable-size
    Dalsi vec je, ze pokud mas zapnuty connection tracking, tak to je take potreba zvysit, jinac to take vetsi pocet spojeni nezvladne sysctl net.ipv4.netfilter.ip_conntrack_max defaultne cca 65k

    60Mbit: 1024 * 1024 * 60 / 8 / 60 bajtu (cca velikost TCP SYN paketu) = 131 172 SYN paketu za sekundu := to je cca sakra hodne :) Pokud se dobre pomatuju, radove 30Mbit SYN znedostupnilo relativne nedavno docela velke zpravodajske weby. zvlast, kdyz pro kazdy paket se musi divat do hashtabulky a hledat naky omezeni.

    Muzes vyzkouset iptables -A XYZ -p tcp --syn -m limit --limit X/s mohlo by se chovat lepe. Ale obecne, pokud nemas hodne zeleza a casu experimentovat, tak se tomu brani dost tezko(pokud teda nepouzijes neco ve stylu https://www.cloudflare.com/ a podobne.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.