Buongiorno a tutti, al momento dispongo di una connessione 56k di test e sto notando molti SYN da alcune sorgenti determinate; premesso che la cosa non mi preoccupa visto che fra 2 ore spengo il pc e premesso che mia policy di default e' iptables -P INPUT DROP, mi e' sorto un dubbio: nel caso mi trovassi fronte a un attacco di tipo SYN-flood, con milioni di pacchetti SYN al secondo, cosa mi dovrei aspettare? Voglio dire, iptables li scarta tutti ma non potrebbero esserci che so, conseguenze del tipo CPU al 100% per ore, con conseguente rallentamento del sistema o magari iptables non riesce a stare dietro alla valanga di pacchetti in arrivo e ne lascia scappare qualcuno?
La cosa mi spaventa particolarmente nel caso di IP statico... qual e' la vostra opinione in merito?
Appena ho un po' di tempo faccio la prova con il ping -f e vediamo se i miei dubbi sono fondati o mi sto preoccupando per niente.
Inoltre, secondo voi e' meglio usare il target di iptables -j DROP oppure -j REJECT --reject-with tcp-reset (simula la porta chiusa con un RST, ACK)?

con una 56k (e anche con linee dedicate con velocità di diversi Mb) il problema di un SYN-flood è che viene saturata la capacità di "reggere" connessioni o che la banda viene saturata.
Il sistema non ha problemi di sovraccarico, nel caso di un 56k una macchina moderna non si accorge neppure dello sforzo.

Nel caso in cui la macchina non riesca a stare al passo con le connessioni comunque, tutto quello che non riesce a gestire viene scartato.

per contrastare un syn-flood è meglio un DROP rispetto ad un reject con invio di reset che occuperebbe ulteriore banda e risorse della macchina. (l'importante è comunque impedire che il syn raggiunga il sistema)

il reject con reset è utilissimo contro le scansioni (appunto per simulare una porta chiusa) ma quasi "dannoso" contro un syn-flood su una 56k.

Ti ringrazio...
Immaginando un bombardamento di SYN o di PING a cui io non rispondo (per capirci, -j DROP) la banda mi viene saturata comunque e percio' non riusciro' in alcun modo ad aprire pagine web.
Nel caso facessi un abbonamento con ip statico (cosa che ho intenzione di fare) non correrei il rischio di trovarmi magari per giorni con una linea sotto attacco e quindi inutilizzabile?

Come dicevo da qualche tempo ho la 56k e la uso come test sul portatile, considera che ho 10 ore al giorno lo sniffer attivo e resto solo in attesa di connessioni entranti: c'e' da mettersi le mani nei capelli, o ci provano con il vnc o con l'ssh, o con l'ftp o con in messaggi 'winpopup' e registrycleanerxp.com (questi li ricevo praticamente ogni minuto).

Per l'ip statico: non credo, nel senso che secondo me il traffico "automatico" rimane quello. Il problema è che se per qualsiasi motivo degli attaccanti ti prendono di mira gli risulterà più semplice trovarti. Comunque ritengo molto improbabile che ti buttino giù la linea per giorni, anche perchè in quel caso l'ISP dovrebbe intervenire.

X il traffico: eggià :(