使用 iptables 限制每个 IP 的最大 UDP 带宽？

Question 1

您尝试执行的操作不会阻止 DDos 攻击，相反，它会限制带宽，这意味着网络性能低下，因此我建议您限制每秒接收的 UDP 数据包的数量：

1- 观察通过网卡：

iptables -I INPUT -p udp -i <nic> -m state --state NEW -m recent --set

2- 丢弃超过 n 通过你的网卡期间吨秒：

iptables -I INPUT -p udp -i <nic> -m state --state NEW -m recent --update --seconds <t> --hitcount <n> -j DROP

Answer

您尝试执行的操作不会阻止 DDos 攻击，相反，它会限制带宽，这意味着网络性能低下，因此我建议您限制每秒接收的 UDP 数据包的数量：

1- 观察通过网卡：

iptables -I INPUT -p udp -i <nic> -m state --state NEW -m recent --set

2- 丢弃超过 n 通过你的网卡期间吨秒：

iptables -I INPUT -p udp -i <nic> -m state --state NEW -m recent --update --seconds <t> --hitcount <n> -j DROP

Question 2

我自己找到了一种方法。高每秒数据包数 (pps) 是（根据我的经验） DDoS 攻击的最大因素。这组 iptables 规则将限制每个 ip 的 UDP pps：
iptables -N UDPLIMIT # New chain called UDPLIMIT

iptables -A UDPLIMIT --match hashlimit --hashlimit-upto 300/second --hashlimit-mode srcip --hashlimit-name udp_rate_limit -j ACCEPT # Only accept 300/second, ignore the rest

iptables -A UDPLIMIT --match limit --limit 5/min -j LOG --log-prefix "UDP Flood DROP: " # Log the attacker (optional)

iptables -A UDPLIMIT -j DROP # Drop anything over 300 pps

Answer

我自己找到了一种方法。高每秒数据包数 (pps) 是（根据我的经验） DDoS 攻击的最大因素。这组 iptables 规则将限制每个 ip 的 UDP pps：
iptables -N UDPLIMIT # New chain called UDPLIMIT

iptables -A UDPLIMIT --match hashlimit --hashlimit-upto 300/second --hashlimit-mode srcip --hashlimit-name udp_rate_limit -j ACCEPT # Only accept 300/second, ignore the rest

iptables -A UDPLIMIT --match limit --limit 5/min -j LOG --log-prefix "UDP Flood DROP: " # Log the attacker (optional)

iptables -A UDPLIMIT -j DROP # Drop anything over 300 pps

使用 iptables 限制每个 IP 的最大 UDP 带宽？

答案1

答案2

相关内容