Кирилл Фирсов

SYN_RECV - это состояние tcp-соединения во время three-handshake, означающее что сервер принял пакет с установленным флагом SYN (запрос на соединение), отправил SYN/SYN-ACK клиенту и ожидает от клиента пакет с флагом ACK.

Поскольку ACK от клиента (в нашем случае, от атакующего хоста) не приходит, то соединение висит до момента, пока оно не будет убито по таймауту. Пока такое соединение существует в системе - оно потребляет ресурсы, что может создать прецедент для замедления работы системы.

Таким образом, чтобы таких соединений не создавалось нужно отсеивать из них неугодные до того, как система выделит для них ресурсы. В Вашем случае, нужно фильтровать все входящие пакеты с установленным флагом SYN и дропать те из них, которые нас не устраивают. Легитимный пользователь не будет создавать по десятку соединений каждую секунду, а атакующий - будет.

Соответственно, Вам нужно выяснить закономерность (периодичность, количество запросов и т. п.), позволяющую отличить легитимный хост от атакующего конкретно в Вашем случае, и в соответствии с ней создать правила.

Если говорить обобщенно, то в Вашем случае, я думаю, проблему можно решить с помощью модуля recent в iptables. Уверен, его функционала Вам будет достаточно. Сможете обойтись несколькими правилами. Алгоритм следует применить примерно такой:

1. Сначала разрешаете входящий tcp-трафик по соединениям в состояниях ESTABLISHED и RELATED (модуль conntrack).

iptables -I INPUT 1 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

2. Открываете нужные порты, разрешая пропуск пакетов по этим правилам только в случаях если:
- установлен флаг SYN (опция --syn);
- соединение находится в состоянии NEW (модуль conntrack);
- не превышен лимит соединений с одного ip-адреса (модуль recent).
Примерно так:

iptables -A INPUT -p tcp -m multiport --dports 80,443 --syn -m conntrack --ctstate NEW -m recent --name webtraffic --update --seconds 5 --hitcount 16 -j DROP

iptables -A INPUT -p tcp -m multiport --dports 80,443 --syn -m conntrack --ctstate NEW -j ACCEPT

Первое правило будет применено только к пакетам с установленным флагом SYN, которые приходят с отдельно взятого IP-адреса со скоростью более 16 пакетов в течение 5 секунд. Этим правилом будет отброшен флуд.

Второе правило пропустит пакеты, не подошедшие под предыдущее правило (легитимный трафик).

Разумеется, все нужно адаптировать под Ваши условия и нагрузку. Подробности по модулям смотрите в man iptables-extensions. Настоятельно рекомендую ознакомиться с описанием модуля recent для лучшего понимания.

3. Дропаете весь остальной tcp-трафик либо отдельным правилом, либо политикой по-умолчанию.

Также, дабы легитимных пользователей не откидывало при попытке подключения, Вы можете увеличить очередь SYN-пакетов в sysctl, в соответствии с имеющимися системными ресурсами. За это отвечает параметр net.ipv4.tcp_max_syn_backlog, и уменьшить таймаут для соединений в состоянии SYN_RECV, за что отвечает параметр net.netfilter.nf_conntrack_tcp_timeout_syn_recv.
Рекомендуемые параметры индивидуальны для каждой системы. У меня используются такие:

net.ipv4.tcp_max_syn_backlog = 262144
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20

Ну вы уж определитесь, что вы хотите, C, С++, C#, это 3 разных языка программирования, если C++ поддерживает библиотеки C, то C# это совсем другой язык программирования, C++/Cli в данном случае так же другой язык, который не имеет ничего общего с C# и позволяет генерировать управляемый код в C++.

Вообще я когда-то поставил Visual C++ 6.0, открыл сайт http://firststeps.ru и понеслось. Начал с туториалов, потом начал читать книги по C++. Страуструпа, Элджера, потом и до Александреску добрался.

А Керниган это C.

Ставьте Visual Studio 2013 Express и не мучайтесь (если под Win). К C++ Builder лучше вообще не прикасайтесь. CodeLite вообще IDE, а не компилятор. Предыдущие 2 идут со своими компиляторами. Ну и создавайте проекты консольных приложений.

Ну, почему так происходит — как раз ничего удивительного, если точка входа настраивается как обработчик 404.
А почему на втором… Ну, видимо, там не забыли favicon положить.

Hint: вкладка «Network» должна открываться при «двойных запросах» в первую очередь.

Решено — действительно дыра.

Правильный, минимально достаточный вариант:

<html lang="ru">

Суффикс -RU означает «тот русский, на котором говорят именно в России» и конкретно для русского языка является избыточным.

С точки зрения архитектуры:

Интерфейс описывает свойства. Обратите внимание на классические названия интерфейсов: Throwable, Countable, Comparable, Iterable и т.д. Возьмем, к примеру, интерфейс Rollable (катящийся), и Foldable (складывающийся).

Абстрактный класс же описывает сущность. Например, стол: Table_Abstract. Стол может быть деревянным, тогда будет Table_Wood extends Table_Abstract. Также стол может быть хирургическим: Table_Surgical extends Table_Abstract. В таком случае Table_Abstract объединяет общий свойства всех столов (скажем, площадь поверхности, наличие ножек и т.п.). А конкретный класс описывает сущность определенного типа столов.

Связью же интерфейсов и классов Вы описываете свойства. Например, стол можно катить: Table_Abstract implements Rollable. Деревянный стол, например, можно сложить: Table_Wood implements Foldable.

Спасибо, веселенькая задачка получилась.:)
Тестим вот на этом:

<div id="i1"><div id="i2"><div id="i3"><div id="i4"></div></div></div></div>
<div id="info"></div>

Вот так:

var x, dt, dt2;
var iter = 100000;
dt = new Date();
for (var i = 0; i < iter; i++)
{
    x = $("#i4").parent().parent();
}
dt2 = new Date();
$("#info").text(dt2 - dt);
				
dt = new Date();
for (var i = 0; i < iter; i++)
{
    x = $("#i4").parents().get(2);
}
dt2 = new Date();
$("#info").text($("#info").text() + ":" + (dt2 - dt));

На заданном примере выигрывает parents().get(2). 3398:2910
Далее делаем 12 вложенных элементов и прогоняем пример из комментария — пять parent()-ов против parents().get(5): с огромным перевесом выигрывает get(5) — 5374:3954.
А вот get(3) проигрывает parent().parent().parent() — 3406:3880.

Получается, что выбрать все 12 элементов и в них найти третий, дольше, чем три раза прыгнуть вверх по дереву.

Наконец, вернемся к первому варианту с четырьмя элементами, и попробуем воспользоваться полученным родителем.

var x, dt, dt2;
var iter = 10000; /* <-- В 10 раз уменьшим, а то зависнем */
dt = new Date();
for (var i = 0; i < iter; i++)
{
   $("#i4").text($("#i4").parent().parent().attr("id")); /* <-- Запишем id родителя в текст потомка */
}
dt2 = new Date();
$("#info").text(dt2 - dt);
				
dt = new Date();
for (var i = 0; i < iter; i++)
{
   $("#i4").text($("#i4").parents().get(2).attr("id"));  /* <-- Попробуем сделать то же самое */
}
dt2 = new Date();
$("#info").text($("#info").text() + " " + (dt2 - dt));

И вот тут нас ждет сюрприз: $("#i4").parents().get(2).attr is not a function
arr.get(i), по сути, то же, что и arr[i], то есть мы получим просто Object.
Для того, чтобы воспользоваться jQuery-функциями, придется обернуть его в денежный знак:
$("#i4").text( $( $("#i4").parents().get(2) ).attr(«id»));
От этого мы и потеряем в производительности: 2665:2973.

Мораль:
1) Всегда найдутся варианты использования, которые лучше для одного варианта и хуже для другого.
2) Эффект от производительности или ее потери будет только на больших числах — в самом первом примере мы выиграли 0,4 секунды за 100000 (!) итераций.
3) Поэтому поступайте, как велит эстет внутри Вас: мне, скорее всего, в реальном примере было бы удобнее получить jQuery-объект и дважды воспользоваться parent()-ом. С другой стороны, восемь раз я бы писать parent() не стал: религия не позволяет.