Вобщем проблема такая - кто-то из локалки, в которой адреса типа 192.168.1.0 подделывает источник из диапазона 36.x.x.x, 37.x.x.x и ложит сервак SYN пакетами по 1000 пакетов/сек. Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила, т.е. сколько может быть теоретически в этой подсети хостов?? Может /8? Система FreeBsd, SYN вроде бы запрещены. Да и как вообще средствами ipfw эффективно сделать скажем ограничение на НЕ БОЛЕЕ чем 10 одновременных соединений? У меня и такое прописано, и даже счетчики крутятся, но почему-то от подобных атак не спасает.

• сколько хостов ограничить?,Danil, 21:14 , 12-Дек-04
  • сколько хостов ограничить?,WWW, 02:53 , 13-Дек-04
    • сколько хостов ограничить?,Beginner, 10:27 , 13-Дек-04
      • сколько хостов ограничить?,WWW, 12:38 , 13-Дек-04
        • сколько хостов ограничить?,Beginner, 14:06 , 13-Дек-04
          • сколько хостов ограничить?,Sampan, 14:45 , 13-Дек-04
            • сколько хостов ограничить?,Danil, 19:21 , 14-Дек-04

А чему равна переменная net.inet.tcp.syncookies в sysctl?
Если 0, то сделать её равной 1, дождаться очередной атаки и посмотреть на результат =)

И, кстати, не вариант разобраться, кто это делает? Например, по MAC-адресу.
И что значит "вроде бы"? :-)

По поводу ограничений см. man ipfw, RULE OPTIONS, опция limit.
Но не факт, что этот "доброжелатель" будет всё делать с одного src-ip, поэтому может и не спасать...

В общем, советую попробовать для начала использовать SYN-cookies.

Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через это правило со своими 100 соединений/сек. Правило у меня с использованием limit. А mac неизвестный, кстати.

>Syn-cookies выставлено 1. IPFW счетчики крутятся, но! как тогда он пробивается через
>это правило со своими 100 соединений/сек. Правило у меня с использованием
>limit. А mac неизвестный, кстати.

Задача? Найти и надовать по шее или обезопаситься?

И то и другое.

>И то и другое.

Если свич умный - можно полочить на нем чтобы он получал только 1 МАС на порт, тогда подменить МАС не удастся. Далее обнаруживаем с какого МАСа все идет. Смотрим на каком порту и идем давать по шее.
Или. Обнаруживаем с какого МАСа, лезем на свич и смотрим с какого порта он пришел. Далее анаголично - по шее.
Обнаружить можно по разному. Например tcpdump с фильтром.

>Так вот хотел спросить, на сколько хостов ставить мне запрещающие правила

Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом случае - часть защиты от спуфинга.

>Запрети принимать ВСЕ кроме из источника 192.168.1.х. Кстати, правило полезное в любом
>случае - часть защиты от спуфинга.

Для начала может сработать, но потом всё равно не поможет...
А пробиваться он может так, что лимит поставлен на src-ip, а он использует рандомные адреса?..
Можно тогда попробовать ставить лимит не на адрес отправителя, а получателя. Но тогда создастся DoS-атака =))) Тут уж решай - либо тебе надо, чтобы машина не висла, либо чтобы пользователи работали.

Кстати, а цель этой машинки какая? Рабочая станция или сервер?

Странно, что syn-cookies не помогают... Вроде бы они специально для этого и есть...

tcp.keepinit - таймаут для неустановленных соединений; может быть, его поменьше попробовать сделать?..
Особенно, если это всё работает только в локальной сети.