Názory k článku CSIRT.CZ radí, jak se bránit útokům typu DDoS

To co popsali hlavne nejsou reseni ale nesmysl, kterej v nekterejch pripadech DDoS naopak jeste ulehci. CSIRT je proste jen banda byrokratu naprosto odrzena od reality.

1. mod-antiloris a mod_noloris funguji efektivne proti maximalne nekolika desitkam utocniku. Takze jejich prakticky vyznam proti DDoS je dost sporny. Funguji maximalne proti script kiddies utocicich z jednoho nebo dvou zdroju. Proti slowloris se da efektivne pouzit v pripade apache akorat mpm-event a rozumne nastaveni iptables (connlimit).

2. TARPIT v iptables je dosti sverazne reseni - a zapomneli jste uvest velice dulezitou informaci a to ze se NEDA pouzivat v kombinaci s conntrackem, protoze v takovem pripade efekt DoS resp DDoS naopak umocni cimz misto aby utok odrazilo utok jeste znasobi. A moznosti ktere dava conntrack k dispozici jsou pro bezny provoz myslim mnohem dulezitejsi.

3. nginx obsahuje pomerne dobre napsany ratelimiter, ten je v takovem pripade mnohem dulezitejsi nez najaka pitoma cache. Proc se o tom skoroodbornici z CSIRTu nezminili?