Изпечатай

[lubo55]

понеже до колкото знам могат да се флуудят портове как мога да спра този флууд използвам дистрибуция базирана на Debian

[neter]

Въпросът ти съдържа огромен отговор, така че просто ще ти кажа да започнеш да четеш ръководството на iptables в частта за действието му като защитна стена.
Гледай в следващите си постове да задаваш въпроси, на които може да се отговори без да се изписват цели ръководства

[lubo55]

  преди ми даваха 1 команда за конзолата пиша я и край на флууда

[Acho]

Ами поискай я отново вълшебната "команда за конзолата" и я постни и тук. Че и ние да я ползваме, щом е толкова велика и поставя край на флуда. Много хора ще са ти признателни Lubo55.

[b2l]

Абе я пробвай дали не е тази:

Код:

sudo apt-get install flood_get_out_of_here

[victim70]

Ако питаш мене - няма отърване. Филтъра спира да да не влиза в компютъра към приложенията дето слушат, но по често вдига натоварването на процесора, като пакети си съществува и се обработва от компютъра тогава на 100% малко на по ниско ниво. Ако приложението 'слушалка' на този порт е читаво може да се получи че е по добре да не го спираш. Е поне по малко товари (визирам ssh услугата, изключвам samba-та).
А ако нямаш слушалка на порта дето те флудят - не прави нищо.

[gat3way]

Винаги е по-добре да се филтрират, при това с DROP. Включително в случаят, когато няма приложение което си е bind-нало listening socket на тоя порт. Там логиката е проста - за всеки TCP пакет който пристигне на този порт, TCP стека на машината ще върне RST, за да уведоми изпращащия че връзката е отказана. Така че просто увеличаваш трафика с 60-тина байта за всеки пакет, който получиш, за да върнеш RST отговора.

Когато слухти нещо, зависи разбира се как е написано, но дори да си имат нормален лимит на backlog-а и да има нормален лимит на броя на accept-натите връзки и да не разхищава особено много ресурси на връзка, пак е същото - само дето ще отговаряш със SYN-ACK пакет, вместо с RST и пак ще увеличаваш трафика. Ядрото хаби памет да ти пази skbuff-овете, които са асоцирани със сокета. Ако имаш connection tracking, съответно още памет се хаби за да се пазят новите "връзки" в conntrack  таблицата. И процесорната утилизация скача, макар че това много зависи от много фактори, но при всички положения - повече, отколкото ако просто дроп-ваш пакетите.

Така че дроп-ването на пакети е последното нещо, което можеш да направиш от гледна точка на хоста. Оттам нататък, нищо повече не можеш да направиш.

[victim70]

Съгласен ако е генерирано от приложение (б..ти писача е бил). В повечето случаи флуда е от злонамерен софтуер, който  не се интересува от RST отговора. Просто пробва дали ще строши нещо (най-често е от червяци правят флудове)