Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..., opennews (ok), 15-Авг-18, (0) [смотреть все] Для фряхи еще дополнительно net inet ip maxfragsperpacket 0net inet6 ip6 maxfrag, Catwoolfii (ok), 13:39 , 15-Авг-18, (1) +5 // Нехилые дефолты по умолчанию CODE sysctl net inet6 ip6 maxfrags net inet ip m, Аноним (14), 16:12 , 15-Авг-18, (14) +5 sysctl -w net ipv4 ipfrag_high_thresh 196608sysctl setting key net ipv4 ipfr, CHERTS (ok), 13:51 , 15-Авг-18, (2) –1   // Телепузиков иди смотри, ну или статью почитай, ядро у тебя какое , Ага (?), 14:00 , 15-Авг-18, (5) +1   // Хм, у меня это отлично работает и на свежем 4 17, и на 3 10 из EL7 И даже на , Stax (ok), 14:17 , 15-Авг-18, (7) +2   // Да debian 9 у меня, со свежим ядром У debian еще свои накрутки над ядром есть, м, CHERTS_ (?), 06:35 , 16-Авг-18, (31) –1   не в этом дело просто ты тупишь и пытаешься поставить high_thresh ниже чем low_t, Мегазаычы (?), 03:01 , 18-Авг-18, (34)   Вроде бы у pf из поставки freebsd штатно стоит политика reassemble для фрагменти, radeon (??), 14:12 , 15-Авг-18, (6) –1 // А что значит штатно стоит Там ведь вроде бы надо в директиве scrub указывать , Catwoolfii (ok), 14:20 , 15-Авг-18, (9) // Выразился я косноязычно Правильней конечно говорить об опции, но она активирова, radeon (??), 14:32 , 15-Авг-18, (11) –1 Не стоит Не пересобирает он просто так ничего , Ivan_83 (ok), 16:54 , 15-Авг-18, (15) интересно в pf confset optimization normalscrub in allрешает проблему , Аноним (8), 14:18 , 15-Авг-18, (8) –1 // Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку , iZEN (ok), 15:39 , 15-Авг-18, (13) –1 Нет Насколько помню как минимум раньше у PF был свой код сборки пакетов Я бы в н, Ivan_83 (ok), 16:55 , 15-Авг-18, (16) че ядро то перепутали местами hi lo, а hi не может быть меньше lo, Аноним (10), 14:23 , 15-Авг-18, (10) // Не перепутали, а подняли до неприличных размеров с припиской 171 но код надо б, имя (?), 17:12 , 15-Авг-18, (17) +1 https access redhat com articles 3553061готовый скрипт, Аноним (21), 18:28 , 15-Авг-18, (21) –1 мннда, чет не отрабатывает от нифига на убунте через bash результат net ipv4 ipf, Аноним (21), 18:37 , 15-Авг-18, (22) –1 // Она ж для домохозяек Ставь нормальный линукс , Аноним (24), 19:29 , 15-Авг-18, (24) да, мой косяк в исходной статье поправлено , Мегазаычы (?), 03:05 , 18-Авг-18, (35) отключить пересборку фрагментированных пакетов нужно делать или достаточно сдел, Аноним (25), 20:31 , 15-Авг-18, (25) –1 // Достаточно , xm (ok), 22:41 , 15-Авг-18, (28) –1 // а что поменялось, как проверить , Аноним (25), 22:54 , 15-Авг-18, (29) // Посмотреть вывод uname и убедиться что патч наложен , xm (ok), 23:23 , 15-Авг-18, (30) –1 Следующая ошибка будет называться PacketSmack - если 10-Гбитный интерфейс сатури, Аноним (27), 22:06 , 15-Авг-18, (27) А есть эксплойт , Аноним (32), 15:36 , 16-Авг-18, (32) –1 // есть , Мегазаычы (?), 03:06 , 18-Авг-18, (36) А возможно на рутерах это настроить чтобы хост FreeBSD получал пакеты без экспло, rihad (ok), 12:54 , 19-Авг-18, (37) // Конечно Надо отключить питание роутера И не включать больше , Аноним (38), 08:50 , 22-Авг-18, (38) // Учитывая специфику ошибки, роутер на пингвине загнется намного раньше , Аноним (14), 13:04 , 22-Авг-18, (39) 1,2,6,8,10,21,22,25,27,32,37

Сообщения

[Сортировка по времени | RSS]

2. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
Сообщение от CHERTS (ok), 15-Авг-18, 13:51
# sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl: setting key "net.ipv4.ipfrag_high_thresh": Invalid argument net.ipv4.ipfrag_high_thresh = 196608 # sysctl -a |grep net.ipv4.ipfrag_high_thresh net.ipv4.ipfrag_high_thresh = 4194304 Ага, рабочий прям рецепт.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+1 +/–
	Сообщение от Ага (?), 15-Авг-18, 14:00
	Телепузиков иди смотри, ну или статью почитай, ядро у тебя какое ?
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+2 +/–
	Сообщение от Stax (ok), 15-Авг-18, 14:17
	Хм, у меня это отлично работает и на свежем 4.17, и на 3.10 из EL7... И даже на роутере с прошивкой Padavan и 3.4.113 ядром работает. Может у него второе ядро? :)
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	–1 +/–
	Сообщение от CHERTS_ (?), 16-Авг-18, 06:35
	> Может у него второе ядро? :) Да debian 9 у меня, со свежим ядром. У debian еще свои накрутки над ядром есть, может в этом дело. Но факт есть факт, проверил на 2 серверах.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и F..."	+/–
	Сообщение от Мегазаычы (?), 18-Авг-18, 03:01
	не в этом дело. просто ты тупишь и пытаешься поставить high_thresh ниже чем low_thresh, на что ядро справедливо возражает. фикс для подобных чуваков как раз не очень давно запилили в апстрим. людям только бы орать что ничего не работает.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема