>Какие пакетики на закрытый TCP-порт ? Обычные.С технической точки зрения - всем глубоко похрену что там шлется в вашу сторону.Поэтому - в вашу сторону можно выстрелить как бы любые пакеты, включая любой набор пактов из протокола TCP и они до вас долетят.И в принципе ну никто не обязывает ремоту с ножом к горлу выплевывать эти пакеты в вас по общепринятым правилам - можно в вас кидать что угодно.Можно даже в правила RFC впихнуться если слать SYN пакеты оптом, допустим(хотя можно и любые иные).О том что это были пакеты на порт который у вас порт закрыт (или что эти пакеты не соответствуют установленной TCP сессии) знает только стек протоколов вашей операционки (ну или там ваш файрвол, etc).И вот когда оно выгребет эти пакетики из канала (канал ессно будет озадачен передачей этих пакетов энное время) - стэк протоколов сможет увидеть что да, пакет был на закрытый порт(или вообще не соответствует никакой TCP сессии), прибить гада!Ну и далее - или нифига (можно тихо убить пакет на закрытый порт файрволом) или отлуп RST пакетом (стандартное дефолтное действо) для информирования ремоты о этом факте или там еще чего (практикуются враки файрволом по ICMP о недоступности хоста, сети, ... например).Проблема при этом ровно одна - если пакеты вам шлют, вы их будете получать.И тощую соску от прова до вас они собой займут.Плевав на вашу недо-полисовку.А после прохождения по медленной соске вы их конечно же сможете разгрести, понять что это было на закрытый порт и даже если хотите - прибить, да.А вам от этого станет легче?Канал то уже был ими засран ими некое время а трафф мог вылезти за рамки желаемой полисовки:P.Возможно - в ущерб более полезным входящим пакетам если такого хлама - много.На полисовку оно покладет с прибором - пришлют не "сколько вы просили" а "столько сколько захотели" и вы с этой вашей недо-полисовкой ничего с этим поделать не сможете.Т.е. полисовка по сути идет лесом.
>Да еще чтобы траффика было много ?
Элементарно, Ватсон.Просто тупо шлем вам пакеты до упора.Наплевав на ваши RST пакеты (а также молчанку, враки файрвола что хост или сеть недоступна и прочая).И вы их будете получать.И выгребать.И, черт возьми, сколько пошлют и сколько из этого пролезет - столько и выгребете.А у вас варианты есть?Вы, конечно, можете потом убить гумно.А толку то?Ну да, ваша 100 мбит локалка будет чистой.Зато 10Мбит соска в интернет будет засрана пакетами.Много ли вы выиграли сэкономив в 100 мбит локалке 10Мбит?Да нихрена вы не выиграли - проблемы (например, барахловая работа VoIP и прочая) у вас будут от забитости вашей соски в интернет, а вовсе не... :)
>Если это не DDOS-атака, то пакеты прилетят только SYN, а они мелкие
В общем случае можно слать в вас любые пакеты.Можно и крупные.Или много мелких.То что они на закрытый порт или не соответствуют никакой TCP сессии - только вы и ваше добро и знаете.И то - только *после* того как вы их получите.Да, можно из мстительно прибить.А толку?Свое место в тощем канале они уже заняли.Возможно вместо более ценных входящих пакетов (e.g. VoIP).И фиг вы чего с этим сделаете, мистер тормоз.Вот пров может подыграть, отполисовав со своей стороны трафф до пихания в вашу узкую соску и даже приоретизировав некие пакеты в ущерб иным пакетам.Вот только для прова это будет полисовка *исходящего* траффика в вашу сторону.Прикиньте? :).С вашей стороны вы не сможете настолько же гарантированно и полноценно изобразить шейпинг и приоретизацию того что валится на вход, как максимум только некий эрзац с вагоном допущений и ничего не гарантирующий по большому счету.
>и канал забить ими очень трудно.
Не вижу проблем.В конечном итоге - можно слать любые пакеты.Все-равно о том что они были на закрытый порт или не соответствовали никакой TCP сессии знаете только вы.И то - вы узнаете это только после :))) того как они заняли собой вашу тощую соску :)
>Если SYN-пакетов много, то это уже DDOS-атака
DDoS подразумевает распределенную атаку.В данном случае никакой распределенности нафиг не надо.Надо всего-то не сильно тощий канал который сможет в сумме выбить траффик в вашем канале за пределы вашей желаемой полисовки.После чего скорее всего начнутся потери входящих пакетов, рост латентности и прочая радость.И как бы если пров не подыграет - пакеты, допустим, VoIP будут теряться наравне с пакетами флуда.И если меня без вопросов устроит что вы отбросили 50% флуда, вас очень врядли устроит что заодно отбросилось и 50% VoIP пакетов летящих к вам.Провадет со своей стороны мог бы подыграть отполисовав трафф до пихания в вашу соску - у него каналов больше и забить из намного труднее чем одну хилую соску к клиенту.Для прова это как раз и будет полисовка *исходящего* (в вашу сторону) траффа из его сравнительно быстрой сети в сравнительно медленный канал.Так же как вы можете полисовать обратный траффик.И вот такая полисовка - относительно честная.В том плане что как максимум можно закосить под иной тип пакетов.Но если накладывается допустим некий лимит на общий бандвиз траффа, этот лимит обойти не выйдет.
>и вообще ничего не поможет.
Ну вообще-то полисовка траффика провом до некоторой степени могла бы помочь.Например, те же VoIP пакеты пров может пихать в вашу соску первым делом а остальное - как выйдет.При необходимости отбрасывая лишки, etc.Да, это возможно вызовет некоторые трудности для конектящихся к вашему серверу клиентов.Но тем не менее, ему и так и сяк попа а вот критичный сервис который более приоритетный (e.g. VoIP) при этом выживет и будет работать даже, если отполисовать правильно и каналов провайдера хватило(а у него они как правило намного толще и их больше).
ЗЫ вроде бы все в пределах обычной человечьей логики и понимания того как летают пакеты и где узкие места.
ЗЗЫ а вы что, никогда не видели например утилитки генераторов пакетов которые просто шлют то что им сказали слать, глубоко наплевав на любые ответы ремоты?Тоже мне, сетевики фиговы :D
