© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Thomas Vogt <tv(at)solnet.ch> wrote:
> Am Do, den 12.08.2004 schrieb Oliver Fromme um 13:14:
> > FreeBSD bearbeitet ICMP-Pakete bereits während des Empfangs
> > im Interrupt-Handler, so daß der Overhead und die Latenz
> > relativ gering sind. Du kannst im übrigen die Rate, mit
> > der ICMP-Pakete generiert werden, per sysctl begrenzen;
> > siehe »net.inet.icmp« (dort speziell »icmplim«).
>
> Danke. Denke der Defaultwert ist ein Anfang. Den Rest sieht man dann im
> Log.
>
> Besteht die Gefahr, dass die Kiste unter Last zusammenbricht, wenn man
> den Wert auf unlimited (0) setzt. Vorausgesetzt jemand schickt sehr
> viele icmp Packete.
Wenn jemand in böser Absicht (DoS) Adressen fälscht, ist
das denkbar; siehe Bernds Antwort. Das geht aber auch mit
anderen Arten von Paketen, nicht nur Ping. (Andererseits
läßt sich das Problem mit geschicktem Filtern zumindest
etwas eindämmen, indem Du z.B. keine Pakete von außerhalb
Deines Netzes akzeptierst, die vorgeben, von einer Adresse
in Deinem LAN zu kommen. Das sollte Standard in jedem
Filterregelsatz sein.)
Mit regulären Pings ist das aber eher nicht so leicht ein
Problem -- außer, wenn jemand mit einem Ping-Flood das
Netzwerk (den Uplink oder was auch immer) dichtmacht.
Aber dagegen kannst Du eh kaum etwas auf technischer
Ebene unternehmen. Der sysctl beeinflußt ja nur die
Rate der ICMP-Pakete, die Dein Rechner selbst erzeugt;
aber die hereinkommenden können nach wie vor die Leitung
plattmachen.
Eine denkbare Maßnahme wäre, per Paketfilter (z.B. IPFW)
ICMP-ECHO-Pakete zu sperren, die eine bestimmte Größe
überschreiten. Du könntest auch alle Ping-Pakete durch
eine Dummynet-Pipe schicken und sie auf diese Weise be-
grenzen (generell oder pro IP).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 12 Aug 2004 - 16:31:55 CEST