В настоящее время я блокирую небольшую DDOS-атаку с использованием IP-адресов, но все пакеты имеют одинаковый размер, 1514 бит, и я как бы не хочу заполнять правило ACL кучей IP-адресов. После прочтения документации Cisco должна появиться возможность фильтрации по оператору длины пакета, однако он, похоже, не работает, и я никогда не пробовал его. Вот что я использовал:
запретить IP любой длины пакета eq 1514
Кто-нибудь когда-либо использовал оператор длины пакета, и правильно ли это его использование?
1514 байтов - это размер полного IP-пакета (1500 байтов) плюс 14-байтовый заголовок Ethernet. вы заблокируете трафик, который не хотите блокировать, если сделаете это.
Вам следует связаться с вашим интернет-провайдером и узнать, помогут ли они. Большинство интернет-провайдеров способны справиться с этим, поскольку они занимаются этим каждый день. Они могут заблокировать его со своей стороны, что предотвратит попадание DDOS в вашу цепь. Даже если вы заблокируете пакеты на входе, они все равно могут заполнить вашу цепь, хотя они больше не будут работать на вашем сервере (ах).