Hardware Upgrade Forum - View Single Post

W.S. · 10-05-2006, 07:27

parlando di iptables:
Per ogni connessione che il firewall gestisce (sia che la natti sia che ne controlli lo stato: nuova/richiesta/invalida...) il kernel usa circa 250 bytes (prendila con le pinze sono abbastanza sicuro della cifra ma non certo).
Il numero di connessioni massime viene definito in un file (ip_conntrack_max in /proc/sys/net/ipv4) che viene impostato automaticamente all'installazione, a seconda delle risorse della macchina, per darti un'idea:
Pentium 75 Mhz, 32 MB RAM -> 2048 connessioni massime
Xeon 3,2 Ghz, 2 GB RAM -> 65535 connessioni massime

Ovviamente questo valore può essere modificato a seconda delle esigenze.

Una connessione rimane memorizzata finchè non termina o non va in timeout, gli attacchi di flooding cercano di riempire questa "tabella".
Hai ragione, buttar giu il firewall non permette all'attaccante di bypassarlo in quanto blocca la rete, normalmente è come tagliarsi fuori da soli. (con la struttura piena il sistema funziona ancora, manda tanti log, blocca tutte le connessioni ma è ancora utilizzabile).
Tipicamente però il sysadmin si trova, nel giro di pochi minuti, una marea di utenti che rompono per "avere internet" ed è costretto a far qualcosa, chissà che nella confusione non imposti qualche regola più permissiva?
Comunque è un DOS, come attacco mira principalmente a negare un servizio.

P.S.: quanto detto sopra è riferito al firewall integrato nel kernel linux, penso comunque sia abbastanza applicabile un po a tutti i casi, soprattutto in quelli derivati da unix.

10-05-2006, 07:27	#11
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	parlando di iptables: Per ogni connessione che il firewall gestisce (sia che la natti sia che ne controlli lo stato: nuova/richiesta/invalida...) il kernel usa circa 250 bytes (prendila con le pinze sono abbastanza sicuro della cifra ma non certo). Il numero di connessioni massime viene definito in un file (ip_conntrack_max in /proc/sys/net/ipv4) che viene impostato automaticamente all'installazione, a seconda delle risorse della macchina, per darti un'idea: Pentium 75 Mhz, 32 MB RAM -> 2048 connessioni massime Xeon 3,2 Ghz, 2 GB RAM -> 65535 connessioni massime Ovviamente questo valore può essere modificato a seconda delle esigenze. Una connessione rimane memorizzata finchè non termina o non va in timeout, gli attacchi di flooding cercano di riempire questa "tabella". Hai ragione, buttar giu il firewall non permette all'attaccante di bypassarlo in quanto blocca la rete, normalmente è come tagliarsi fuori da soli. (con la struttura piena il sistema funziona ancora, manda tanti log, blocca tutte le connessioni ma è ancora utilizzabile). Tipicamente però il sysadmin si trova, nel giro di pochi minuti, una marea di utenti che rompono per "avere internet" ed è costretto a far qualcosa, chissà che nella confusione non imposti qualche regola più permissiva? Comunque è un DOS, come attacco mira principalmente a negare un servizio. P.S.: quanto detto sopra è riferito al firewall integrato nel kernel linux, penso comunque sia abbastanza applicabile un po a tutti i casi, soprattutto in quelli derivati da unix. __________________ [ W.S. ]