ну, т.е. на iptables я могу для этого придумать более одного способа.

https://blog.yadutaf.fr/2016/03/30/turn-any-syscall-into-event-introducing-ebpf-kernel-probes/

https://launchpad.net/~wireshark-dev - последний wireshark для stable ubuntu

кстати, Щорс. нам по ссылке есть твой любимый backlog.

да он не любимый. просто это тема

кстати, DROP - это молчаливое дропание или кричащее?

молчаливое iirc

молчаливое

ну т.е. чувак на том конце сидит и ждёт у моря погоды? отлично

кстати, DROP - это молчаливое дропание или кричащее?

а тебе оно зачем?

а тебе оно зачем?

да сейчас просто для интереса

я бы в боевых условиях ставил TARPIT :)

это забавно, но я раньше не использовал fail2ban

я бы в боевых условиях ставил TARPIT :)

что это?

что это?

вообщем, вешаешь на tcp вместо drop. когда туда приходит коннект, оно честно делает 3way handshake, выставляет окно в 0 и всё.

извне выглядит как машина у которой открыты все порты.

зачем?

если на такую машину натравить nmap - он будет сканить вечность.

ыыы

вообщем, это сводит с ума кучу утилит для фингерпринта

и т.к. окно в 0, то такие коннекты ещё и сложно закрыть.

если это честные коннекты.

Ну они будут засирать тебе стек

открытыми коннектами

а санфлуд лишний туда можно отправлять?

в тарпит

или лучше дропать

Если их будет много -- то рано или поздно можно сткунуться об то, что больше не откроют никому

Captures and holds incoming TCP connections using no local per- connection resources. Connections are accepted, but immediately switched to the persist state (0 byte window), in which the remote side stops sending data and asks to continue every 60-240 seconds. Attempts to close the connection are ignored, forcing the remote side to time out the connection in 12-24 minutes.

Да, так вот, что касается технических лидеров и проджект менеджеров

тоесть с атакующего компа коннект висит

Когда я вернулся в команду Павлика день на пятый я начал на них в чате орать

Ну они будут засирать тебе стек

не будут. пакеты не доходят до стека.

а вот атакующий будет тратить ресурсы.

не будут. пакеты не доходят до стека.

А где они? 8-0

Павлик попросил меня так не делать, потому что люди ссут

Понимаете теперь, зачем нужен проджект менеджер?

Roman, оно уже есть коробке ? раньше вроде было только патчами

а вот атакующий будет тратить ресурсы.

тогда лучше в случае санфлуда делать тарпит?

А где они? 8-0

к тебе прилетает syn, модуль отвечает на это syn+ack. к тебе прилетает ack - он делает ack+push с windows size=0

тогда лучше в случае санфлуда делать тарпит?

нет. с синфлудом сложнее и тут надо на synproxy что ли уходить.

к тебе прилетает syn, модуль отвечает на это syn+ack. к тебе прилетает ack - он делает ack+push с windows size=0

Это я понял. А дальше что? Соединение с твоей стороны куда-то девается, что ли?

Понимаете теперь, зачем нужен проджект менеджер?

Это про soft skills ты сейчас.

Это про soft skills ты сейчас.

Это я про то, врубается человек или нет

В hostile environment, безусловно, лучше врубаться

Но если тебя собственная команда наебывает - это же край

Roman, оно уже есть коробке ? раньше вроде было только патчами

сейчас надо ставить xtables-extensios. там без патчей, просто модули собираются

Собственная команда так делает всегда, если врубается, что ты не петришь.

Это значит, что ты не проджект менеджер никакой

Это я понял. А дальше что? Соединение с твоей стороны куда-то девается, что ли?

а дальше можно забыть.

Собственная команда так делает всегда, если врубается, что ты не петришь.

Нет

нет. с синфлудом сложнее и тут надо на synproxy что ли уходить.

http://c2n.me/3wzfSZo.png ну вот третье правило щас дропает, а если заворачивать на тарпит то атакующая сторона может захлебнуться?

Нахер наебывать человека, который деньги тебе зарабатывает?

фактически, стейт хранится только на время хендшейка, а после - удаляется.

тебе этот коннект не нужен, а для удалённой стороны это выглядит как валидный коннект.

фактически, стейт хранится только на время хендшейка, а после - удаляется.

А, это какой-то отдельный наворот над стеком, то есть?

Если он не зарабатывает - то тогда вы все хуесосы, и ПМ, и команда

сбоку вернее

И вас надо списывать в утиль

А, это какой-то отдельный наворот над стеком, то есть?

да, это модуль нетфильтра.

А когда вы все нормально тащите - все будет четко

Если он не зарабатывает - то тогда вы все хуесосы, и ПМ, и команда

Я видел команды, о которых ты говоришь. Но я видел и команды, где рядовым девелоперам вообще насрать.

Я таких дофига и больше видел

http://c2n.me/3wzfSZo.png ну вот третье правило щас дропает, а если заворачивать на тарпит то атакующая сторона может захлебнуться?

это говняная защита от syn.

Они у меня проходят под кодовым наименованием “люксофт"

Хотя люксофт это еще лучшие

Во-во

ERROR: S client not available

потому что у тебя создаётся дорогущий стейт в conntrack.

зарплатного потолка кажется нет.

Любая русская говнолавка говностудия ебучая

И даже в люксофте кому-то надо рулить и получать результат

В люксе есть трекер и стендапы

во всяком случае, оплата по заслугам.

Это good enough

Даже с такими вот текущими телами, которые сегодня тут, а завтра там

Везде, где есть трекер и стендапы, средний процесс наладить можно

зарплатного потолка кажется нет.

Так не бывает

Чтоб провести стендап надо врубаться, о чем речь вообще :)

Потолок всегда есть

Чтоб провести стендап надо врубаться, о чем речь вообще :)

Ну - техлид пусть врубается

А если техлид тебе врет?

Фильм “Цельнометаллическая оболочка”

А если техлид тебе врет?

Захера?

Где ты нашел такого техлида?

Если тебе техлид врет - как ты вообще в IT попал?

Где ты тогда вырос?

Чтобы, например, приукрасить действительность

Ну вот он приукрасит ровно один раз

После чего архитектурный комитет соберется, даст всем пизды и выработает почасовой план

После первого же собрания архитектурного комитета техлид врать перестанет

Ладно, давай так

Потому что хочет спать по ночам

потому что у тебя создаётся дорогущий стейт в conntrack.

при использовании тарпит? или сами правила говняные?

Ты видел хоть одного PM'а, который бы вообще не врубался?

я видел

Фильм “Цельнометаллическая оболочка”

хорош?

Ты видел хоть одного PM'а, который бы вообще не врубался?

define “вообще”

(успешно заканчивающего проект за проектом)

Мои лучшие ПМы были не технарями вообще