Я использую Debian 6 - 64-битную ОС, и мой сервер время от времени ddosed / flooded по протоколу udp. Я в основном размещаю игровые серверы, и мой брандмауэр настроен на ограничение скорости пакетов на разрешенных портах, но иногда скорость на IP-адрес низкая, но количество IP-адресов больше, поэтому мой сервер отправляет исходящие недоступные ответы icmp на атакующий IP-адрес, который не благо но душит / насыщает порт еще больше.
Смотрю как отключить эту функцию. На самом деле атакованные порты разрешены через брандмауэр, и я не могу их отключить, хотя это решило бы проблему. Я запускаю несколько серверов с некоторыми диапазонами портов, поэтому я не могу постоянно принимать эти порты один за другим, и решил разрешить общий диапазон портов, который мне может потребоваться.
Я смотрю какие-то возможности ядра, чтобы это остановить?
Чтобы предотвратить отправку недоступных пакетов ICMP, вы можете отбросить их с помощью netfilter (iptables):
iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j DROP
Лучше предотвратить их генерацию в первую очередь, используя цель DROP во входящем трафике, а не REJECT (или ничего, где сетевой стек ядра будет создавать недоступный ответ, а не netfilter)
Я не думаю, что это решит ваши проблемы; вам необходимо определить, какое влияние оказывает DDoS-атака; это насыщает сеть или потребляет системные ресурсы (ЦП / память и т. д.). Если это сеть, то отключение ответов может немного помочь, но вы все равно будете иметь входящие пакеты на проводе.
Цель iptables REJECT вызывает отправку ответов о недоступности ICMP. Изменение вашей цели на DROP приведет к тому, что входящие пакеты будут незаметно закрыты черными дырами.