Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'a…

Borrar esta mensaxe

Responder a esta mensaxe
Autor: clash
Data:  
Para: hackmeeting
Asunto: Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'autodifesa
Il 22/10/2013 12:17, Jaromil ha scritt
> qui parsiamo netstat ogni $sleep contando le connessioni aperte, se sono
> piu' di $connlimit le mettiamo in "blackhole" (che e' una roba built-in)
>
>  while `sleep $sleep`; do
>   conns=`netstat -ntau | tail -n+3 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c`
>   for c in ${(f)conns}; do
>     ip=`print $c | awk '{print $2}'`
>     nc=`print $c | awk '{print $1}'`
>     { test "$ip" = "127.0.0.1" } && { continue }
>     # altri ip in whitelist qui

>
>     { test $nc -gt $connlimit } && {
>      echo "$ip -> blackhole"
>      echo "ip route add blackhole $ip"
>         echo "$ip" >> blacklist-live.list
>         ip route add blackhole $ip }



solo un cosa, come tareresti connlimit?

hai considerato le man nattate che possono generare molteplici
connessioni dallo stesso ip di uscita per diversi utenti?
lo tareresti ad un numero considerevolmente alto, ma così ti perderesti
l'efficacia su attacchi medio/bassi
se il server e' carrozzato se ne frega degli attacchi medio/bassi ma se
non lo e'?