Dnia poniedziałek, 20 września 2004 09:09, olek napisał:
> Użytkownik Corvin napisał:
> >>macie pomysl co to bylo ?
> >
> > Widać że tabela conntracka się przepełniła, generalnie jak widać warto
> > się zabezpieczać i np. puszczać tylko echo reqest 0 i 8 icmp type a to co
> > przychodzi w ten sposób
> > limitować -m -limit -limitburst (przeciekające wiadro :) ).
>
> wiem co sie stalo i mam nadzieje ze wlasnie limitowanie zaradzi temu na
> przyszlosc, bardziej interesuje mnie co to bylo za zjawisko, skad taka
> ilosc icmp ? atak jakis ? jezeli tak to udany :-(

heh nie wygląda na to może faktycznie problemy w kernelu.
W każdym razie różnice w czasie pomiędzy logowanymi pakietami są
dość duże. Doczytałem też część RFC o icmp i z tego wynika że warto np
wpuszczać icmp type 3 choćby ze względu na realizację algorytmu PMTU.
Ale nie warto go wypuszczać ;). Jeśli boisz się ataków stosuj zabezpieczenia.
Np. puszczaj tylko połączenie NEW z flagą SYN. No i ESTABLISHED, RELATED.
A propos czyjegoś pytania Netfilter również stanowo śledzi icmp (przecież
część komunikacji odbywa się na zasadzie pytanie odpowiedź).

Pozdr,
C/
Received on Mon Sep 20 11:17:00 2004