Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DoS attack against ip_conntrack & Astaro

Pikkio
Hi, 
i found that the astaro can be DoSed filling up the conntrack table.
The licensing doesn't allow to change the /proc/sys/net/ipv4/ip_conntrack_max kernel setting and there is no way to change the ip_conntrack timeouts (look for the kernel patch at http://www.stearns.org/pomlist/20030101-output/pom-extra.htm).

So any way to defend from a DoS filling up the conntrack table ?

Bye
 


This thread was automatically locked due to age.
Parents
  • 0
    Pikkio,

    with all due respect, I still think that you should be more accurate when posting such statements.

    1) posted link isn't available
    2) date in the URL indicates an article from January 1st, 2003

    think over it
    cyclops

      
Reply
  • 0
    Pikkio,

    with all due respect, I still think that you should be more accurate when posting such statements.

    1) posted link isn't available
    2) date in the URL indicates an article from January 1st, 2003

    think over it
    cyclops

      
Children
  • 0 in reply to cyclops
    Cyclos,
    UBB add the ). at the end of the url

    However I would like to post the attention of the Astaro maker to this kernel patch which allow to change the timeout of the ip_conntrack table entries. The url is:
    http://www.stearns.org/pomlist/20030101-output/pom-extra.html#ip_conntrack-timeouts

    If the entries in /proc/net/ip_conntrack grow to /proc/sys/net/ipv4/ip_conntrack_max your firewall will begin to drop packets.

    If you try to make a SynFlood to a machine behind the ASL (and of course enable the syncookies on the behind server) you CAN be able to fill up the ip_conntrack on the ASL.

    ASL doesn't allow you to change the /proc/sys/net/ipv4/ip_conntrack_max for licensing issue so I think that it should be able you to change the ip_conntrack timeouts at least.

    Pikkio