我一直在寻找一些基本的 IPTABLES 保护以抵御 Syn 攻击和洪水,我发现了以下命令:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP //syn protect
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP //xmas packets protect
它们真的能帮助阻止此类袭击吗?
答案1
嗯,它们是阻止特定类型 (D)DOS 攻击的过滤器,所以是的。但它们绝不是万能药,因为在 IP 层或更高层有很多方法可以对服务器进行 DOS/DDOS 攻击。
这里还有针对其他几种形式的 DOS 攻击的过滤器:http://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html
我建议您研究一下 Bucket 过滤,作为限制某些类型数据包速率的一种方法。 https://en.wikipedia.org/wiki/Token_bucket
https://en.wikipedia.org/wiki/Leaky_bucket
有关 IPTables 中的速率限制的更多信息,请参见此处: http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html