xrea.com part87
>>997
> TCP的には、接続元からの接続要求(Synパケット)に対して、サーバ側が応答(SynAck)を返して接続が確立するのだが、
> SynFloodというのは、SynAckが帰ってこようとくるまいと問答無用で大量のSynパケットを送信して、
> 応答が間に合わなくなりあぼんぬ、という攻撃だ。そしてたいていIPスプーフィング(騙り)を併用しているので、
> どうにか帰ってきたSynAckで自爆することもない。
>
> つまり、レイヤ4のHTTPの接続が確立するとかいうはるか以前のレベルで攻撃されているので、
> .htaccessなどまったく無意味なのだよ。
え〜と.thaccessだとSynパケットの大量送信を弾くことはできないってことなの?
それじゃUnixのファイアーウォール機能やWindowsのファイアーウォールソフトで
特定の国IPアドレスからのアクセスを一切denyにしてもSynFlood攻撃による
鯖落としは防ぎようが無いということなの?
今後中韓からますますSynFlood攻撃が来ることが予想されるけど(xreaにも)
鯖管として執りうる対抗手段は無いということ?
> TCP的には、接続元からの接続要求(Synパケット)に対して、サーバ側が応答(SynAck)を返して接続が確立するのだが、
> SynFloodというのは、SynAckが帰ってこようとくるまいと問答無用で大量のSynパケットを送信して、
> 応答が間に合わなくなりあぼんぬ、という攻撃だ。そしてたいていIPスプーフィング(騙り)を併用しているので、
> どうにか帰ってきたSynAckで自爆することもない。
>
> つまり、レイヤ4のHTTPの接続が確立するとかいうはるか以前のレベルで攻撃されているので、
> .htaccessなどまったく無意味なのだよ。
え〜と.thaccessだとSynパケットの大量送信を弾くことはできないってことなの?
それじゃUnixのファイアーウォール機能やWindowsのファイアーウォールソフトで
特定の国IPアドレスからのアクセスを一切denyにしてもSynFlood攻撃による
鯖落としは防ぎようが無いということなの?
今後中韓からますますSynFlood攻撃が来ることが予想されるけど(xreaにも)
鯖管として執りうる対抗手段は無いということ?
|
|
|