PDA

Pogčedajte punu verziju : DDoS redirekcija?


LiquidBrain
05. 08. 2008., 13:11
Hello,
evo razmisljam nesto o implemetaciji ofanzivnog firewall-a pa me interesuju vasa misljenja...

Zamislio sam sistem tako da kada se detektuje neki od DoS napada sav saobracaj koji dolazi sa adrese sa koje dolazi napad da se samo redirektuje nazad. Ovo moze da bude dobra zastita protiv syn flood-a...

Interesuju me vasa misljenja na sledeca pitanja:

1. Da li je ovo legalno?!?
2. Vase misljenje o takvom resenju...

Hvala :)

conica
05. 08. 2008., 13:52
zar ne ostaje i dalje problem zagusenja - sto i jeste cilj ddos-a

Mislim da je jedini nacin kontaktirati nadprovajdera da on odsece blokove sa kojih dolazi napad na cvoristima sto udaljenijim od tvog servera

ivanhoe
05. 08. 2008., 14:34
^ slazem se...

a i ne samo to, nego se tvom nadprovajderu nece dopasti da mu pravis dupli napad, plus takav firewall bi se mozda mogao iskoristiti za napad na druge servere tako sto bi se pravili paketi koji izgledaju kao da poticu sa drugog servera, i ti bi ga onda prakticno napao...

Peca
05. 08. 2008., 15:43
duplirao bi stetu i zagusenje :)

ja planiram nesto u php-u (+ mysql memory table + iptables -j DROP) da uradim privremeno.
ali je pitanje sta sa syn flood-om, on mozda ne bi ni dosao do inicijalizacije php skripte...

ivanhoe
05. 08. 2008., 16:37
kako najbolje da se detektuje ddos? Mislim automatski..

LiquidBrain
05. 08. 2008., 17:38
Heh, nisam se lepo objasnio...

Ideja jeste zastita od syn flood-a, sve ostalo nikako ne moze... Poenta je da ja napadacu iscrpim connection pool i tako privremeno zaustavim napad...

Primer: Detektujem da sa neke ip adrese dolazi vise od 10 syn requestova po sekundi, za tu adresu dodam pravilo u firewallu tako da sve pakete vracam posaljiocu.

E sada tu ostaje problem kako da sam sistem otkrije da li je adresa spoofovana ili nije... Pa ako jeste onda samo da se dropuje paket, a ako nije onda da se praketi vracaju...

Generalno i to je moguce ali je poprilicno komplikovano to izvesti...

twix
05. 08. 2008., 17:42
Vise stetis sebi nego napadacu...

Peca
06. 08. 2008., 00:05
i ima li neki trik da se na iptables nivou detektuje i/ili spreci syn flood?

Ivan
06. 08. 2008., 11:32
U svakom slucaju samo bi opteretio sebe jos vise jer bi morao dodatno da obradjujes zahteve (bilo da su drop ili redirekcija). Zatim problem bi ti stvorile i fake adrese, cini mi se da nije tako jednostavno otkriti ih.

Vidjao sam pre fore sa podesavanjem *keepalive* i *fin_timeout* varijablama u samom tcp protokolu koje donekle mogu da pomognu u ovim slucajevima ... probaj da googlas ...

rubiks
06. 08. 2008., 12:43
Jedan solidan resurs na temu DDOS generalno.

http://staff.washington.edu/dittrich/misc/ddos/