Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'a…

Supprimer ce message

Répondre à ce message
Auteur: Jaromil
Date:  
À: hackmeeting
Sujet: Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'autodifesa
On Tue, 22 Oct 2013, bisco wrote:

> Il 22.10.2013 10:17 Jaromil ha scritto:
> [cut]
> >
> >qui parsiamo netstat ogni $sleep contando le connessioni aperte,
> >se sono
> >piu' di $connlimit le mettiamo in "blackhole" (che e' una roba
> >built-in)


> in questo caso hai comunque il kernel che deve capire se deve
> rispondere o meno a un determinato IP, ma la richiesta t'e' arrivata
> e ti continuera' ad arrivare. quello che fai e' non mandargli alcuna
> risposta.
>
> e' corretto o mi son perso un pezzo?


si ma l'operazione e' a livello IP e la distinzione la fa la tabella di
routing sul source ip. credo sia il piu' basso livello di latenza
possibile sull'operazione, che produce pure il minor carico
http://en.wikipedia.org/wiki/Black_hole_(networking)

> >ora a me piacerebbe fare la stessa cosa ma in C e con un sqlite che
> >fa dei controlli sulle connessioni piu' raffinati e soprattutto tiene
> >memoria tra un'avvio ed un altro.
>
> sicuramente sarebbe un miglioramento nelle prestazioni e sulla
> flessibilita'.


si cmq devo dire gia' cosi' macina molto bene eh.
ma in C sarebbe + veloce e + sexy.

ciao