有人可以给我提供关于这些规则的建议,以防止在没有初始 SYN 片段的情况下发送碎片数据包的 DDOS 吗?

有人可以给我提供关于这些规则的建议,以防止在没有初始 SYN 片段的情况下发送碎片数据包的 DDOS 吗?

iptables -N NEW_TCP_PACKETS_NO_SYN

iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp !--syn -m state --state NEW -m limit --limit 10/day -j LOG --log-prefix "新数据包但不是 syn:"

iptables -A 输入 NEW_TCP_PACKETS_NO_SYN -p tcp !--syn -m state--state NEW-j DROP

iptables -A 输入 NEW_TCP_PACKETS_NO_SYN -f -j DROP

1)我正在使用-N选项创建一个新的用户生成的链
2)我正在记录非SYN的新数据包,并且我正在添加一个限制以防止我的日志文件被淹没
3)我正在丢弃非SYN的新数据包
4)我正在使用-f因为我剩下碎片数据包,我想丢弃这些数据包。

改进类似事物的建议在这里找到https://serverfault.com/a/245713/114606,即在 -t raw -A PREROUTING 中添加

A) 我不太明白所说的内容,我该如何将其“添加”?
这似乎是一件冒险的事情,因为它在数据包上设置了一个标记,表明它们不应由连接跟踪系统处理。

B) 为什么这是必要的?我丢弃了这些数据包,那么标记这些数据包到底有什么好处呢?

话虽如此,当我确实获得了初始 SYN 片段但没有获得最后一个片段时,可以做些什么吗?

相关内容