Zdravim!
Mam nasledujici problem: verejna IP a provider, ktery pocita do najeteho objemu dat vsechny packety, ktere prolezou pres gate - i kdyz nedojdou do klientskeho stroje (napr. proto, ze je fyzicky vypojeny ze site).
Tak me tak napadlo... Kdyz by se nejaky dobrak rozhodnul, ze mi da flood ping, muze se dost dobre stat, ze mi projede datovy limit behem noci a mne zustanou tak leda oci pro plac. Napada nekoho, jak tomu zabranit? (Jinak nez zbavit se verejne IP)
No, mne je to celkem jedno, na jakem systemu to resit - na sve strane si muzu zapojit cokoliv - router/firewall, linuxovy stroj, windowsovy stroj... Problem je v tom, ze toto se imho neda resit na strane klienta (protoze provider napocita vsechno co projde pres gate bez ohledu na to, jestli to dojde ke klientovi nebo ne). Ale se sitarinou nemam prilis zkusenosti, tak se radsi ptam.
Zalezi na smlouve s providerem. Pokud v ni nekdo pristoupi na to, ze se bude pocïtat i datovy tok na ktery on nema vliv (napr. zminena ICMP na ver. adr. zvenku) nezaslouzi slitovani.
No, tak to je hodne naivni
Pokud se nekdo rozhodne na cilovou adresu zakaznika provadet (D)DoS - ping flood je jednou z mnoha moznosti, tak zadna krabicka u zakaznika tomu nezabrani...
kde je dneska jeste provider ktery pocita icmp? dnes uz to nedela ani telecom (o2, telefonica), a pokud takový je tak rozhodne smlouvu ukoncit nebo alespon upravit....
imao asi nijak, protoze i dropovane pakety jsou pakety prijate a pri napr. rate v iptables se dle meho odhadu zbytek nad povoleny rate zahodi(drop).
ochranu lze zajistit "cestou" nikoliv na posledni mili.
To ovsem nic nemeni na tom, ze by zadny ISP nemel tato data pocitat do datoveho limitu zakaznikum. Zakaznik totiz na jejich tok nema absolutne zadny vliv.
nemel, ale pocita. Nastesti to udela jenom 1-2MB/den. Dokud nekoho nenapadne zacit floodovat...
A to jsem si vybral toho nejlepsiho providera, ktery tu je k mani. Nechtejte vedet, jak to vypada u tech horsich
Nechci se hádat, ale stejně dobře můžu umlátit někoho pomocí UDP paketů (pustím mu tam porno přes UDP stream), pravděpodobně i přes TCPstream (kopa syn paketů).
V podstatě bych řekl, že uživatel nemůže nikdy zabránit tomu, co mu kdo napočítá, pokud si dejme tomu nedohodne s providerem, že mu blokne všechny porty a jenom ty povolené mu spočítá.
Je málo věcí, na které může mít koncový zákazník vliv. Jediné opatření je vymyslet ve spolupráci s providerem systém, jak zabránit určitým IP přístup na moji IP už od něj. No, nic takového jsem jaktěživ neviděl. Prostě jediné rozumné rešení je mít připojení bez limitu...
Já limit nemám, takže podobné záležitosti fakt řešit nemusím...
Bohužel jen UDP, navíc ne že by byl otevřený port 53 do internetu, ale musí se to tunelovat skrze DNS requesty... ale taky se to dá; otázka je, jestli je větší sraní ICMP tunel nebo DNS tunel
11.09.2006 v 08:48
