Debian 8 - я применял некоторые правила, чтобы избежать UDP-флуда, но я не уверен, что они будут работать, у меня есть журнал моей защиты от DDoS, и это очень большая атака (около 70 ГБ)
Это правила, которые я применил к ОС.
iptables -A INPUT -i eth0 -p udp --sport 123 -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
Журнал Anti-DDoS (Их на 200-300 ips больше с такими же пакетами / длиной)
2019-01-21 02:01:21 UTC IP 24.103.40.174:123 > myhost:3866 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 206.54.223.145:123 > myhost:59733 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 58.186.102.236:123 > myhost:56048 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 202.125.157.74:123 > myhost:59733 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 87.241.143.27:123 > myhost:3866 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 80.11.26.127:123 > myhost:59733 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 190.67.183.22:123 > myhost:21180 UDP, length 1835036, packets 4096
2019-01-21 02:01:21 UTC IP 175.18.90.38:123 > myhost:59733 UDP, length 1835036, packets 4096
Любые рекомендации по предотвращению / блокированию этой конкретной атаки UDP Flood? Я также заблокировал все порты, кроме тех, которые я использую, но атака все равно может пройти.
Когда вы блокируете пакеты UDP в Netfilter filter таблицы, пакеты по-прежнему запускают создание записи отслеживания соединения в поле.
Это вызывает дополнительное потребление ресурсов на сервере.
Чтобы избежать создания записи отслеживания подключения, вам необходимо использовать raw таблица для фильтрации ваших пакетов.
iptables -t raw -A PREROUTING -i eth0 -p udp --sport 123 -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
iptables -t raw -A PREROUTING -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
Однако это помогает только в том случае, если вычислительная мощность вашего сервера является узким местом.
Если DDoS заполняет емкость сетевого подключения вашего сервера, вы ничего не сможете сделать на реальном сервере, чтобы защитить себя от наводнения.
Это связано с тем, что восходящий маршрутизатор по-прежнему отправляет все эти пакеты на ваш сервер через соединение, ограничивая пропускную способность канала.
В этом случае единственное решение - проконсультироваться с вашим провайдером сети за помощью в предотвращении DDoS-атак.
Вы всегда должны пытаться перенести свои правила на более высокие цепочки, чтобы максимизировать производительность. Для этой конкретной цели вы можете отбрасывать пакеты до того, как они попадут в отслеживание соединения в необработанной таблице и цепочке PREROUTING. INPUT не имеет необработанной цепочки.