数据包数量为每秒 200,000 ~ 800,000 个,且为 UDP 欺骗(0 字节/46 字节)
我有一个 linux deb 6 和 windows server 2003,它们正在受到影响。
目前的想法:- 预先设置代理服务器以过滤掉攻击。HAProxy 能用吗?我需要带 PF 的 BSD 盒吗?我需要寻找什么来过滤?我需要被击中的端口,但必须有一种方法可以过滤和阻止坏数据包?
答案1
由于您说“需要端口”,我假设您在遭受 DoS 攻击的 UDP 端口上提供某种公共服务。使用 HAProxy 不会对您有所帮助,因为 HAProxy
- 不支持 UDP 传输
- 即使有,它也不会给你区分“坏”数据包和“好”数据包的方法——也就是说,它不能充当过滤器
可用的选项取决于“坏”数据包的特征。
如果您可以根据标头信息(IP 源/目标地址、UDP 源/目标端口)识别它们,那么最好的办法就是要求您的 ISP 过滤符合适当条件的数据包。
如果您需要内容检查或状态匹配,ISP 可能无法提供帮助(尽管问问也无妨),但需要设置自己的数据包过滤路由器,以便根据定义的标准进行过滤。pf/BSD 以及 netfilter/Linux 可能能够完成这项工作。