• Категории
  • Подписка
  • Разместить статью
06/02/11 6 3007 Управление Internet-службами
-

DOS-атаки на службы, запускаемые с помощью inetd/xinetd

Возможен такой вариант, что хакер организует атаку на ресурсы чужой системы с по­мощью создания 1000 telnet-соединений. Даже при заблокированном доступе на выполне­ние поиска в файлах и обрыв соединения требуются какие-то ресурсы. При использовании inetd ситуация усугубляется, поскольку необходимо выполнить ветвление процесса и запус­тить tcpd. Многочисленные запросы на соединение полностью потребляют ресурсы атакован­ного компьютера, и он не в состоянии ответить на любые другие легитимные запросы.

Защита с помощью tcpserver

Вместо inetd, можно использовать программу tcpserver для ограничения количества подклю­чений к службам. Также с помощью этой программы можно задать правила доступа для определенных хостов, что обеспечивает контроль, подобный TCP Wrappers. В отличие от inetd и xinetd, необходимо запускать одну копию программы tcpserver для каждого разрешенного со­единения. Получить tcpserver можно по адресу: http://cr.yp.to/ucspi-tcp.html.

Защита с помощью xinetd

В супер-сервере xinetd предусмотрены две встроенные возможности, которые позволяют решить проблему чрезмерного использования ресурсов:

  • Ограничение общего количества одновременно устанавливаемых соединений с опреде­ленной службой.
  • Ограничение общего количества одновременных соединений с определенной службой, инициированных с одного IP-адреса.

Добавить эти ограничения можно как в глобальный файл /etc/xinetd.conf в разделе defaults, так и в отдельные файлы для каждой службы следующим образом:

instances = 25
per_source = 5

В данном случае величина instances ограничивает количество одновременно возможных соединений с отдельной службой (25 одновременных соединений), а величина per_source ог­раничивает значением 5 количество одновременных соединений с одной службой, организован­ных с одного удаленного компьютера (по его IР-адресу).


6 комментариев на «“DOS-атаки на службы, запускаемые с помощью inetd/xinetd”»

  1. хорошая идея, нужно показать эту статью мужу

  2. Неплохие варианты, по идее должны быть действенными. Нужно испробовать.

  3. Ничего почти не спасет от хорошего ддоса…

  4. Всегда хотел узнать А что такое DOS атаки? Ктонить дайте ссылку на пост почитать.

  5. Всегда хотел узнать А что такое DOS атаки? Ктонить дайте ссылку на пост почитать.

    • Аноним:

      Стыдно в наше то время не знать как работает wiki (http:// ru.wikipedia.org/wiki/DoS-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0)

Добавить комментарий

Яндекс.Метрика