Назад | Перейти на главную страницу

Флуд пакетов, есть ли способ справиться с этим?

Моя машина переполняется тысячами пакетов в секунду. Они не потребляют много пропускной способности (60 Мбит / с из 1 Гбит), но они сильно повреждают систему, потребляя процессор, отвечающий за обработку прерываний сетевой карты. ksoftirqd переходит на 100%, и машина становится почти недоступной. Как я могу справиться с такого рода атаками - выбросом огромного количества случайных пакетов? Есть ли способ как-то настроить обработку прерываний сервера или распределить их по другим процессорам?

Моя сетевая карта использует NAPI, ядро ​​Linux - 2.6.31.5

Вам необходимо связаться с вашим вышестоящим провайдером и попросить его заблокировать, отфильтровать или иным образом предотвратить попадание пакетов от этого DDOS-запроса. К тому времени, когда они появятся на вашем сервере, вы действительно мало что сможете сделать.

Вы можете попытаться заблокировать исходные IP-адреса с помощью iptables, но, вероятно, (вычислительный) ущерб уже нанесен к тому моменту, когда iptables фактически просматривает пакеты и решает их отбросить.

РЕДАКТИРОВАТЬ:

Ваш комментарий не имеет для меня смысла. У вас есть DDOS, вызванные большим количеством или специально созданными пакетами (или обоими), вызывающими слишком большие вычислительные издержки из-за переключения прерываний. Они исходят из одного или нескольких источников? Ваш вышестоящий провайдер отбрасывает пакеты из этого источника / источников? Прибыль! Если они никогда не доберутся до вашей машины - они никогда не вызовут проблемы. Нет никакого волшебства, которое вы можете сделать на хосте, чтобы предотвратить это, когда пакеты уже прибывают. Вам нужно сбросить пакеты перед они прибывают на вашу машину. Свяжитесь с вашим поставщиком услуг или хостинг-компанией.