topek pisze:

>>>> Wytnij dostęp do IRC.
> mi pomagalo (ale routing na linuxie robiony) :
> tcpdump -i eth0 dst port ircd
> nastepnie obserwujesz ktore IPki lacza sie z dziwnymi serwerami irc'a
> (najczesciej bez revdns'a)
> i wycinasz im albo dostep do netu albo tylko do irca
> (ja wycinalem im net - i czekalem az delikwent sie zglosi)

Ale co to ma do rzeczy? Nie piszę o tropieniu trojanów. (D)DoS-y są
zazwyczaj prowokowane przez IRC, bo właśnie tam siedzą debile którzy
się w to bawią i nikt im w tym specjalnie nie przeszkadza, a szkoda.
Dlatego najlepiej wyciąć dostęp do IRC jako takiego, jeśli nie jest
absolutnie potrzebny.

> na podobne synfloody dobra tez byla latka connlimit z netfiltra:
> iptables -t filter -I $LANCUCH -p tcp --syn -m connlimit --connlimit-above
> $1 -j REJECT
> $1 = ~30-40
> $LANCUCH = FORWARD

Nie załamuj, przecież byle atak zapcha te 4 mbit i takie regułki można
sobie wsadzić... w nos.

--
Neas, ?eas@?eas.pl, http://www.neas.pl