Re: Rechner zum Pingen

On Thu, Aug 12, 2004 at 02:05:54PM +0200, Thomas Vogt wrote:
> Am Do, den 12.08.2004 schrieb Oliver Fromme um 13:14:
> > relativ gering sind. Du kannst im übrigen die Rate, mit
> > der ICMP-Pakete generiert werden, per sysctl begrenzen;
> > siehe »net.inet.icmp« (dort speziell »icmplim«).
>
> Danke. Denke der Defaultwert ist ein Anfang. Den Rest sieht man dann im
> Log.
>
> Besteht die Gefahr, dass die Kiste unter Last zusammenbricht, wenn man
> den Wert auf unlimited (0) setzt. Vorausgesetzt jemand schickt sehr
> viele icmp Packete.

Ja.
Die Limitierung ist drin um einen DoS zu verhindern.
Folgender Fall:
Packet kommt von draußen und hat als Absender eine IP aus dem LAN,
an welchem der Zielrechner angeklemmt ist.
Jetzt muss der Zielrechner für die Antwot erst einen ARP request
versenden und das Antwortpacket queuen.
Wenn jedoch die angebliche Absendermaschine gar nicht exisitiert,
dann dauert es bis zum ARP Timeout, bis die Antwortpackete endlich
entsorgt werden können und keine Resourcen mehr belegen.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message