UDP пакеты iptables (возможно DDoS)
Debian 8 - я применяю некоторые правила, чтобы избежать UDP-потока, но я не уверен, будут ли они работать, у меня есть журнал от моего анти-DDoS, и это очень большая атака (около 70 ГБ)
Это правила, которые я применил к ОС.
iptables -A INPUT -i eth0 -p udp --sport 123 -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
Журнал Anti-DDoS (Есть примерно 200-300 ips больше с одинаковыми пакетами / длиной)
2019-01-21 02:01:21 UTC IP 24.103.40.174:123 > myhost:3866 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 206.54.223.145:123 > myhost:59733 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 58.186.102.236:123 > myhost:56048 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 202.125.157.74:123 > myhost:59733 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 87.241.143.27:123 > myhost:3866 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 80.11.26.127:123 > myhost:59733 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 190.67.183.22:123 > myhost:21180 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 175.18.90.38:123 > myhost:59733 UDP, length 1835036, packets 4096
Любая рекомендация, чтобы избежать / заблокировать эту конкретную атаку UDP Flood? Я также заблокировал все порты, кроме тех, которыми пользуюсь, но атака все равно может пройти.
1 ответ
Когда вы блокируете пакеты UDP в Netfilter filter В таблице, пакеты все еще инициируют создание записи отслеживания соединения в коробке.
Это вызывает дополнительное потребление ресурсов на сервере.
Чтобы избежать создания записи отслеживания соединения, необходимо использовать raw таблица для фильтрации ваших пакетов.
iptables -t raw -A INPUT -i eth0 -p udp --sport 123 -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
iptables -t raw -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
Однако это помогает только в том случае, если производительность вашего сервера является узким местом.
Если DDoS заполняет емкость сетевого подключения вашего сервера, вы ничего не можете сделать на реальном сервере, чтобы защитить себя от наводнения.
Это связано с тем, что вышестоящий маршрутизатор все еще отправляет все эти пакеты на ваш сервер через соединение, ограничивая пропускную способность канала.
В этом случае единственное решение состоит в том, чтобы проконсультироваться с вашим поставщиком исходящей сети для помощи в смягчении DDoS.
Вы всегда должны пытаться перенести свои правила на более высокие цепочки, чтобы максимизировать производительность. Для этой конкретной цели вы можете отбрасывать пакеты до того, как они попадут в отслеживание соединения в необработанной таблице и цепочке PREROUTING. INPUT не имеет необработанной цепочки.