>повторяйте каждый раз это перед обедом как мантру.
>примерные схемы атаки(весь трафик генерируется через raw-сокеты):
>1.1 устанавливаем соединение(syn, syn+ack, ack)
>1.2 выставляем размер окна в 1 октет.
>1.3 шлем GET /
>повторяем так много раз. запрашивать лучше файлик побольше(желательно mp3/flv/avi)
>2.1 устанавливаем соединение(syn, syn+ack, ack)
>2.2 выставляем размер окна в 0
>повторяем много раз. И что будет? Пачка полудохлых соединений? Кстати а не на эту ли ситуацию линуксный кернель бухтит в dmesg про "peer IP:port has unexpectedly shrunk window. Repaired"? ("Treason uncloaked" в более старых ядрах, IIRC).
А, собственно, что будет проблемой? Нжинкса без особых проблем тыщщи соединений держит вроде. Я нае...сь на какие-то лимиты TCP/IP стека? Или чего? Как минимум в теории - атацкер ограничен 65К соединений с хоста (по числу его портов). При том на 1 конекцию жрется явно меньше ресурсов чем на 1 форк апача например. При случае повторю вашу "мантру", но хорошо бы понимать - какую именно часть механики атакуем, какая цель и ожидаемый результат.
>вполне можно. боты, повторяющие человека достаточно редкие.
Я бы так не сказал - быстрые боты пропали, в основном теперь припирается стадо медленных, в пересчете на айпи - скорость небольшая и особо не поудавливаешь (иначе сам под раздачу попадешь при случае). Пришлось настроить порткнок от засранцев. Неудобно слегка но лучше чем периодический жрач трети проца на левую активность.