Мой сервер засыпан UDP-пакетами длиной 4 (заголовок 32 байта).
04:56:26.844797 IP 108.241.236.114.47034 > 185.5.173.249.14522: UDP, length 4
04:56:26.844831 IP 5.2.81.91.41240 > 185.5.173.249.14522: UDP, length 4
04:56:26.844866 IP 210.87.250.55.40919 > 185.5.173.249.14522: UDP, length 4
04:56:26.844900 IP 94.73.142.23.55904 > 185.5.173.249.14522: UDP, length 4
04:56:26.844940 IP 122.146.80.27.53779 > 185.5.173.249.14522: UDP, length 4
04:56:26.844970 IP 151.164.8.177.57392 > 185.5.173.249.14522: UDP, length 4
04:56:26.845003 IP 107.199.209.29.58712 > 185.5.173.249.14522: UDP, length 4
04:56:26.845042 IP 109.69.210.61.55743 > 185.5.173.249.14522: UDP, length 4
04:56:26.845075 IP 174.142.83.201.57903 > 185.5.173.249.14522: UDP, length 4
04:56:26.845112 IP 109.86.103.4.59078 > 185.5.173.249.14522: UDP, length 4
04:56:26.845143 IP 195.73.208.205.48309 > 185.5.173.249.14522: UDP, length 4
04:56:26.845179 IP 24.227.213.112.47999 > 185.5.173.249.14522: UDP, length 4
04:56:26.845232 IP 203.126.92.200.44085 > 185.5.173.249.14522: UDP, length 4
04:56:26.845266 IP 155.223.130.101.41779 > 185.5.173.249.14522: UDP, length 4
04:56:26.845280 IP 207.71.48.115.47343 > 185.5.173.249.14522: UDP, length 4
04:56:26.845297 IP 173.45.246.116.56800 > 185.5.173.249.14522: UDP, length 4
04:56:26.845324 IP 5.19.255.191.56223 > 185.5.173.249.14522: UDP, length 4
04:56:26.845359 IP 91.121.45.106.41200 > 185.5.173.249.14522: UDP, length 4
04:56:26.845393 IP 89.135.59.191.43939 > 185.5.173.249.14522: UDP, length 4
04:56:26.845423 IP 208.125.243.239.46874 > 185.5.173.249.14522: UDP, length 4
04:56:26.845457 IP 193.61.128.69.42921 > 185.5.173.249.14522: UDP, length 4
04:56:26.845494 IP 210.253.139.44.58710 > 185.5.173.249.14522: UDP, length 4
04:56:26.845533 IP 24.242.179.242.53563 > 185.5.173.249.14522: UDP, length 4
04:56:26.845561 IP 110.50.110.211.54071 > 185.5.173.249.14522: UDP, length 4
04:56:26.845581 IP 217.14.193.97.49223 > 185.5.173.249.14522: UDP, length 4
04:56:26.845628 IP 31.210.67.1.52423 > 185.5.173.249.14522: UDP, length 4
04:56:26.845644 IP 178.33.119.122.51731 > 185.5.173.249.14522: UDP, length 4
У меня уже есть правило, чтобы заблокировать это, но, похоже, оно не работает, пакеты все равно приходят.
iptables -t raw -A PREROUTING -p udp -m length --length 4 -j DROP
Длина заголовка 32, затем длина места назначения 4. Я пытаюсь заблокировать только длину 4.
Как я могу эффективно блокировать эти атакующие пакеты?
Чтобы решить эту проблему, вам необходимо понять несколько фактов:
Имея это знание, вот пример, который будет блокировать UDP-пакеты с полезной нагрузкой данных менее 4 байтов, где нет IP-параметров:
iptables -A PREROUTING -p udp -m length --length 28:32 -j DROP
Вы также можете, конечно, использовать --length 0:32 поскольку это также были бы недопустимые пакеты; у вас никогда не может быть законного пакета UDP с общим размером менее 28 байт. Фактически, даже при 28 байтах это в высшей степени аномально, поскольку при этом отправляется дейтаграмма ... без данных.
Надеюсь это поможет.
Это похоже на атаку распределенного отказа в обслуживании (DDoS), и если она насыщает входящее сетевое подключение к вашему периметру (либо маршрутизатор, либо сервер), то никакие брандмауэры внутри вашей сети не исправят это, поскольку ссылка к ты уже насыщен.
Рекомендуемый метод защиты от DDoS-атак - попросить вашего интернет-провайдера отфильтровать этот трафик до того, как он достигнет вашей сети.
В долгосрочной перспективе, возможно, стоит провести переговоры с консультантом по предотвращению DDoS-атак, чтобы вы могли получить "чистая труба" подключение к Интернету. (Обычно работает путем туннелирования вашего трафика через туннель GRE к посреднику по предотвращению DDoS-атак, у которого есть восходящее соединение для обработки атаки и фильтрации трафика атаки перед маршрутизацией к вам).