-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 2010-06-04 08:15, Camaleón wrote:
El Fri, 04 Jun 2010 01:51:03 +0200, Carlos E. R. escribió:
El 2010-06-03 a las 20:53 -0000, Camaleón escribió:
Y dale.
Y toma.
Es la aplicación atacada la que sabe, en tiempo real, que está siendo atacada y con qué tipo de ataque, y es ella la que debe ordenar la defensa.
La defensa puede ser un bloqueo de IP en el cortafuegos. La IP que diga la aplicación.
Las medidas disuasorias no siempre "f-u-n-c-i-o-n-a-n". En cualquier caso hay que usar el cortafuegos:
¿Quien habla de disuasorias? No te fijes en el nombre de un módulo. Es sólo un ejemplo.
Hasta los de Apache te lo dicen:
*** http://httpd.apache.org/docs/trunk/misc/security_tips.html#dos
Denial of Service (DoS) attacks All network servers can be subject to denial of service attacks that attempt to prevent responses to clients by tying up the resources of the server. It is not possible to prevent such attacks entirely, but you can do certain things to mitigate the problems that they create.
Often the most effective anti-DoS tool will be a firewall
El mod_evasive ese (que no será el unico modulo que existe) se usa, según el texto que puse, para cambiar las reglas iptables al vuelo. O sea, el cortafuegos. Os habeis emperrado en lo que no es. Un ataque DOS, masivo, es un tipo de ataque que necesita un tipo de medidas. Un ataque lento, que busca vulnerabilides en el servidor web, no puedes hacer nada en el cortafuegos porque el cortafuegos no sabe que hay un ataque en curso, no puede saberlo a no ser que analice el _contenido_ del tráfico. El servidor web sí puede saberlo, y puede entonces decirle al cortafuegos que corte esas IPs. De eso es de lo que estoy hablando. Y por cierto, ante un ataque grande, es el proveedor quien lo corta, al habla con el cliente. Con un proveedor como tiene que ser - porque hay ataques que lo que se comen es el ancho de banda que tengas contratado, y por mucho que hagas en tu cortafuegos, no te sirve de nada. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Minas Tirith)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iF4EAREIAAYFAkwJQrYACgkQja8UbcUWM1ybgQEAi7LyYPCQZN1d3FSnf3mvbhR5 Y9Ac/RLebILFkfkM2GEA+wXUELmE4bxCxfOM44Nf3ZzkHJxBTWDuHLgXcl/4pHo2 =vOme -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org