Назад | Перейти на главную страницу

Может ли кто-нибудь дать мне совет по этим правилам, чтобы предотвратить DDOS, когда фрагментированные пакеты отправляются без начального SYN-фрагмента?

iptables -N NEW_TCP_PACKETS_NO_SYN

iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! --syn -m state --state NEW -m limit --limit 10 / day -j LOG --log-prefix «Новые пакеты, но не синхронизированы:»

iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! --syn -m состояние --state NEW -j DROP

iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -f -j DROP

1) Я создаю новую цепочку, созданную пользователем, с параметром -N
2) Я регистрирую НОВЫЕ пакеты, которые не синхронизируются, и добавляю ограничение, пытаясь предотвратить переполнение моих файлов журнала.
3) Я отбрасываю НОВЫЕ пакеты, которые не являются SYN
4) Я использую -f, потому что у меня остались фрагментированные пакеты, и я хочу отбросить эти пакеты.

Здесь была найдена рекомендация улучшить что-то подобное https://serverfault.com/a/245713/114606 , то есть добавить его в -t raw -A PREROUTING

А) Я не совсем понимаю, о чем идет речь, как мне добавить "в"?
И это кажется рискованным делом, потому что это устанавливает отметку на пакетах, что они не должны обрабатываться системой отслеживания соединений.

Б) А зачем это нужно? Я отбрасываю эти пакеты, так в чем именно преимущество маркировки этих пакетов?

Все, что было сказано, можно ли что-нибудь сделать, когда я получаю исходный фрагмент SYN, но не получаю последний?