Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'a…

Delete this message

Reply to this message
Author: P@sKy
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'autodifesa
Il 22/10/2013 12.17, Jaromil ha scritto:
> qui parsiamo netstat ogni $sleep contando le connessioni aperte, se sono
> piu' di $connlimit le mettiamo in "blackhole" (che e' una roba built-in)
>
>   while `sleep $sleep`; do
>    conns=`netstat -ntau | tail -n+3 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c`
>    for c in ${(f)conns}; do
>      ip=`print $c | awk '{print $2}'`
>      nc=`print $c | awk '{print $1}'`
>      { test "$ip" = "127.0.0.1" } && { continue }
>      # altri ip in whitelist qui

>
>      { test $nc -gt $connlimit } && {
>       echo "$ip -> blackhole"
>       echo "ip route add blackhole $ip"
>          echo "$ip" >> blacklist-live.list
>          ip route add blackhole $ip }
>    done
>   done

>
> questa roba non ha memoria


Caro Jaromil,
questa cosa non solo non ha memoria, ma è fichissima...
Ovvio che in "C" è molto più sexy, ma già così stimola
la mia curiosità.

Bella. :^)

--
P@sKy
Makkinista - Fuokista
Isole Nella Rete - http://www.ecn.org/