Citat:
Originally posted by patrikweb@Oct 3 2008, 17:07
Är det endast SYN paket eller skapar dom en full connection?
Viktigaste är kolla hur paketet ser ut i innehåll, skickar dom några headar?
Normalt så skickar dom aldrig några useragent eller liknande vilket gör det lätt att identifera och droppa.
Så normalt blir paketstorleken mycket lägre än legtima anslutningar vilket gör att du skulle kunnat skapa ett filter som droppar paket som är under en viss storlek mot port 80. Annars får du hitta ett mönster och sedan skapa ett L7 filter för matcha och droppa.
|
Det är nog full connection för dom syns som gäster på forum, det kan bli runt 700-800 gäster på ett specifikt forum. Kan man skapa filter på en pfsense brandvägg tror du?