Re: [ml] SYN Flooder cercasi

marco misitano wrote:
>> Un attacco naptha ben fatto uccide quasi qualsiasi cosa, difficile
>> resistergli con prodotti di security commerciali.
> e open source o non commerciali ?
L'opensource è stata l'unica soluzione di fronte ad apparati firewall
Cisco e Checkpoint e apparati di rete Cisco L3 che morivano come le
mosche sotto attacco naptha, ognuno con qualche forma di saturazione di
qualche tabella in memoria.

Per proteggere questi apparati l'unica soluzione è stata posizionare una
batteria di sistemi Linux con iptables opportunamente tunato con moduli
di rate limiting vari per essere in grado di reggere e gestire un
attacco naptha.

E non è così ovvio risolvere il problema limitando il numero massimo di
connessioni dagli stessi IP perchè chi gestisce siti ad alto traffico sa
che ci sono provider come fastweb, libero (ma anche molti altri esteri)
che proxano o nattano centinaia e migliaia di utenti su singoli
indirizzi ip.

Se ci sono esperienze pratiche di mitigazione di questo attacco mediante
funzionalità offerte da prodotti commerciali sarò molto felice di
leggere dei messaggi a riguardo.

Saluti

Fabio Pietrosanti (naif)