iptables -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -j DROP
Mentiraaaaa!!! O 11º pacote do segundo (10/s) pode ser legítimo!
Tá, e daí? E daí que você fez o trabalho do atacante e está aplicando um D-DOS-Y (Do-a-Denial-Of-Service-Yourself, eheheh...essa definição é minha).
Então qual é maneira betopena-like de fazer a coisa certa??
Eu acho que é assim:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Tá, blza! Mas e se ao invés de SYN-FLOOD nós tivermos um ACK-FLOOD??
Hmm. Boa pergunta. Ainda não havia pensado nisso.
That's all folks!!
Nenhum comentário:
Postar um comentário