Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'a…

Supprimer ce message

Répondre à ce message
Auteur: clash
Date:  
À: hackmeeting
Sujet: Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'autodifesa
Il 22/10/2013 12:17, Jaromil ha scritt
> qui parsiamo netstat ogni $sleep contando le connessioni aperte, se sono
> piu' di $connlimit le mettiamo in "blackhole" (che e' una roba built-in)
>
>  while `sleep $sleep`; do
>   conns=`netstat -ntau | tail -n+3 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c`
>   for c in ${(f)conns}; do
>     ip=`print $c | awk '{print $2}'`
>     nc=`print $c | awk '{print $1}'`
>     { test "$ip" = "127.0.0.1" } && { continue }
>     # altri ip in whitelist qui

>
>     { test $nc -gt $connlimit } && {
>      echo "$ip -> blackhole"
>      echo "ip route add blackhole $ip"
>         echo "$ip" >> blacklist-live.list
>         ip route add blackhole $ip }



solo un cosa, come tareresti connlimit?

hai considerato le man nattate che possono generare molteplici
connessioni dallo stesso ip di uscita per diversi utenti?
lo tareresti ad un numero considerevolmente alto, ma così ti perderesti
l'efficacia su attacchi medio/bassi
se il server e' carrozzato se ne frega degli attacchi medio/bassi ma se
non lo e'?