DROP vs REJECT DDoS [duplicado]

1

Eu perguntei em outro lugar e recebi esta resposta:

Using DROP turns any type of DDoS attack into a SYN flood, because your server expects ACK responses which it will never get. Even if you can fine tune your tcp timeout options some of the settings are hardcoded into the kernel. A REJECT is very quick and takes tiny bandwidth. For more information Google "drop vs reject".

Eu pesquisei o que ele disse e ele parece correto, mas eu só quero ter certeza.

    
por LanguagesNamedAfterCofee 28.07.2012 / 05:22

1 resposta

6

Usar o DROP faz com que ele espere por um tempo limite (o pacote é descartado antes de chegar ao seu aplicativo). Você não manda nada de volta.

Usando o REJECT você envia um pacote RST, dizendo que a porta está fechada.

Usar o DROP é melhor para proteção DoS, já que você não envia nada. Usar o REJECT é um "melhor", já que alguém se conecta a você por engano, sabe que a porta está fechada imediatamente e não precisa esperar por um tempo limite.

Um flood de sincronização é quando alguém envia muitos pacotes syn para iniciar muitas conexões (falsas ou não) e você reserva recursos para cada conexão, enquanto não há usuários reais para usá-los. Como você usa todos os seus recursos, usuários legítimos não podem usar seu serviço.

    
por 28.07.2012 / 05:25