Статья подразумевалась информационной, без обсуждения защиты, там по ссылке внизу есть пара советов. В кратце:
— надо дропать соединения с ненормально маленьким advertised окном. iptables например
— надо на уровне приложения ограничивать время соединения, в независости от состояния соединения. ModSecurity, flying frog
это несерьезно:) Огромные конторы сидят на одном внешнем IP, браузер минимум два соединения делает (favicon), дропать соединия тоже некрасиво как то, лучше в очередь поставить.
tcpdrop лучше, но тогда реально медленные клиенты, которые аплодять фотку у эйфелевой башни будут жаловаться.
iptables ом можно дропать SYN пакеты с advertised window меньше чего то. Сейчас не видел систему, посылающуью менее 65К.
Лимит в 1000 соединений изза того, что использую select(), нехочется скрипткидям жизнь облегчать, на и на epoll() переписывать лень.
— надо дропать соединения с ненормально маленьким advertised окном. iptables например
— надо на уровне приложения ограничивать время соединения, в независости от состояния соединения. ModSecurity, flying frog
tcpdrop лучше, но тогда реально медленные клиенты, которые аплодять фотку у эйфелевой башни будут жаловаться.
iptables ом можно дропать SYN пакеты с advertised window меньше чего то. Сейчас не видел систему, посылающуью менее 65К.