sslug-teknik team mailing list archive

["Kim Hermansen" <k.hermansen@xxxxxxxxxxxxxxxx>]

----- Original Message ----- 
From: "Kim Nielsen" <knielsen@xxxxxxxxxxxxxxxxxxxxxxx>
To: <sslug-teknik@xxxxxxxx>
Sent: Tuesday, January 29, 2002 11:09 AM
Subject: Re: [TEKNIK] Downloadmanager, hvordan stoppes


> On Tue, 2002-01-29 at 11:02, Kim Hermansen wrote:
> > 
> >
> > Der er ikke tale om DoS angreb da alle "get" er på kendte filnavne, og det ville vel ikke
> > være tale om kendte filnavne ved et DoS.
> > Og jo, jeg har bemærket at de fleste browsere laver 2 "get" pr. vist side. Så havde egentligt
> > tænkt på at lave en grænse ved 3.
> > 
> Jeg siger heller ikke det er et DoS angreb .. jeg siger bare at det er
> samme måde man laver det på .. bare mange af dem .. wget er et ganske
> udemærket værktøj til at lave DoS angreb .. men måske kan du lave den
> grænse i sourcekoden eller i et apache modul
> 
> /Kim
> 
> 
> 
> 
Må tilstå at jeg trode at der var en ganske enkel måde til at filtrere på.
Filtrere efter følgende princip:

Mere end 3 "get" inden for 1 sec. fra samme ip ; så drop alle forbindelser til ip.
Mere end 6 "get" for samme fil fra samme ip 3 sec. ; så drop alle forbindelser til ip.
    # Mere end 6 for at tillade "opdater" 3 gange inden for 3 sec
Vent 10 sec. før der tillades ny forbindelse fra ip.

Hvis man påtænker alm. http trafik så burde det ikke give et problem, da
der jo går lidt tid mellem "get" og til resultat vises på modtager maskine.

Om det lige løser DoS problemet, tvivler jeg på. Men det kunne vel forhindre brugen
af downloadmanager's, eller begrænse antallet af forbindelser. (intil de retter i koden for
mamager'en)

Men jeg må tilstå at jeg er lidt på herrens mark med hensyn til lige at få lavet
et modul til Apache der kan virke som beskrevet. Men da jeg sikkert ikke er/var
den eneste der følte behovet, så var der sikkert lavet noget.

Men jeg må tilstå at jeg bliver "lettere ophidset" når jeg ser 1416 linjer log for en der har hentet 20
bitte små filer.

M.v.h.

Kim