Приветствую!
Есть маленький самописный http сервер для тестов и раздачи обновлений, в логах видно, что он участвут в ДДОС атаках: с разных адресов, обычно одной автономной системы, приходят SYN-пакеты, сервер их отклоняет через CF_REJECT, это приводит к отправке ACK+RST пакета жертве. Работе это не мешает, т.к. поток пакетов маленький (максимум несколько десятков в секунду, обычно меньше), но заполняет логи и способствует атаке. В связи с этим вопрос: есть ли способ отклонить подлючение, ничего не посылая в ответ (идеально, если бы была возможность в acceptcondition вернуть что-то типа CF_DROP, но увы)? ОС - Windows.

Dimitry SibiryakovРаз это http сервер, то "разные адреса" это, случайно так, не гугль с яндексом?

Нет

Dimitry Sibiryakovx1ca4064есть ли способ отклонить подлючение, ничего не посылая в ответ
То есть прикинуться мёртвым? Верни CF_DEFER.

Да, хочется прикинуться трупом. Если верну CF_DEFER, при следующих вызовах WSAAccept я опять получу это соедининение. Есть мысль использовать в этот момент SetTcpEntry, но, пока, не проверил.

Dima Tx1ca4064ОС - Windows.
Если речь про запрет конкретных IP-адресов, то можно поставить какой-нибудь файрвол, умеющий блокировать входящие соединения. Например WIPFW . Там конфиг в текстовом файле, можно его автоматом генерить.
Спасибо за рекомендацию, посмотрю. Но хотелось бы свое решение, причем без использования kernel-mode. Странно, что такое простое дело, как просто молча грохнуть сокет, оказывается так трудно сделать.

Dimitry SibiryakovТо есть прикинуться мёртвым? Верни CF_DEFER.

SetTcpEntry работает, но RST+ACK пакет все равно отправляется :(