В интервью (http://www.securityfocus.com/columnists/361) затрагиваются темы реализации новой защиты от DoS атак в ядре OpenBSD, сравнения сетевого стека с Linux, статуса развития проекта OpenBGPD (http://www.openbgpd.org).URL: http://www.securityfocus.com/columnists/361
Новость: https://www.opennet.ru/opennews/art.shtml?num=6262
> Thus, the counter-measure for the blind throughput-reduction attack is very simple: ignore ICMP Source Quench messages meant for TCP connections.защита от dos-атак заключается в том, чтобы урезать функциональность из сетевого стека?
в принципе, тоже вариант. но непонятно, почему она вырезана напрочь, а не сделана включаемой по желанию юзера, который будет сам дурак.
не то, чтобы source quench мне очень нужен (фактически, у меня он везде зафайрволлен), но такая политика партии не может не настораживать.
А что тут такого? Source Quench сообщения изначально задумывались для ограничения скорости UDP траффика. У TCP для этих целей есть свои механизмы. Об этом и идет речь.