האם קיים מוצר קוד פתוח

lizard

New member
האם קיים מוצר קוד פתוח

בתחום הFW שיודע לספור כמות תעבורה ובהתאם לבצע דברים? אני מניח שזה דומה ל QOS. הרעיון הוא לגלות משתמשים שמעלים נניח יותר מ10 מגה לשרת ולהגביל אותם מבחינת תעבורה בהתאם.
 

תּמר

New member
באיזה שירות מדובר?

או שמא כוונתך לשרת בכלל, ולא משנה לאיזה פורט? אני מכירה מודול ל-apache, שמגביל את מספר ההתחברויות בו-זמנית מאותו IP (הוא יודע לזהות התחברות מ-proxy, ואת ה-IP שמאחוריו, עם קימפול והגדרה נכונים). שם המודול: limitipconn לשרת ftp ניתן להגביל התחברות לפי שם משתמש, וגם להגביל מקום על הדיסק. אני מניחה שלא לכך התכוונת, אלא לחסימה בזמן בדיקת התעבורה (בעזרת iptables, לדוגמה), לפני ההתחברות לשרות עצמו. אני לא מכירה תוכנה כזאת, ולא יודעת אם iptables מסוגל לעשות זאת או לא.
 
מה יחידת הזמן/מידה ?

10 מגה ליום, ל-Session? רוב מוצרי ה-QoS שאני מכירה מתייחסים רק ל-bit/sec.
 

lizard

New member
הרעיון הוא למנוע מצב של DoS שנגרם

עקב העלאה של מאות מגות לשרת מסויים. החווה שבה השרת שלי מתארח הותקפה אתמול ולזמן מה אכן השרת שלי נפל (למרות שקשה לי להאמין שהוא עצמו הותקף) אני מנסה לחשוב על פתרונות לבעיה הזו.
 
מה הכוונה להעלעת מידע

האם אתה מתכוון שנשלך אילך תעבורה גדולה, או ששלחו לשרת שלך קבצים והם מילאו את ה-storage שלו? אם אתה מדבר על storage, הפתרון חייב להיות אפליקטיבי. אם אתה מדבר על בעיות תקשורת, אזי הייתי ממליץ לך להשתמש ב-OpenBSD כרכיב שישעה עבורך QOS. www.openbsd.org http://tinyurl.com/2l5e2
 

lizard

New member
הכוונה שאם יש לי אתר שמאפשר להעלות

חומר אליו, אז אני אדאג שהתעבורה לא תעבור אחוז מסויים לכל משתמש.
 

antidot

New member
----->

sysctl.conf:
#Reduce DoS'ing ability by reducing timeouts net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_keepalive_time = 1800 net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_sack = 0 net.ipv4.tcp_max_syn_backlog = 1280 #Disabling IP Spoofing attacks. #Comment this line out when using IPSEC 2 net.ipv4.conf.all.rp_filter = 2 #Don't respond to broadcast pings net.ipv4.icmp_echo_ignore_broadcasts = 1 #Enable SYN Cookies net.ipv4.tcp_syncookies = 1 #Block source routing net.ipv4.conf.all.accept_source_route = 0 #Kill timestamps. These have been the subject of a recent bugtraq thread net.ipv4.tcp_timestamps = 0 #Kill redirects net.ipv4.conf.all.accept_redirects = 0 #Enable bad error message protection net.ipv4.icmp_ignore_bogus_error_responses = 1 #Log martians (packets with impossible addresses) net.ipv4.conf.all.log_martians = 1​
iptables:
#ping flood protection $IPTABLES -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 1/s -j ACCEPT​
הנ"ל הוא דוגמא לאיך להגן על מכונה נגד התקפות SYN flood והתקפות DoS בסיסיות. בקיצר: www.netfilter.org ... רב התשובות שם.
 
למעלה