阻止 UDP 欺骗攻击的策略

阻止 UDP 欺骗攻击的策略

数据包数量为每秒 200,000 ~ 800,000 个,且为 UDP 欺骗(0 字节/46 字节)

我有一个 linux deb 6 和 windows server 2003,它们正在受到影响。

目前的想法:- 预先设置代理服务器以过滤掉攻击。HAProxy 能用吗?我需要带 PF 的 BSD 盒吗?我需要寻找什么来过滤?我需要被击中的端口,但必须有一种方法可以过滤和阻止坏数据包?

答案1

由于您说“需要端口”,我假设您在遭受 DoS 攻击的 UDP 端口上提供某种公共服务。使用 HAProxy 不会对您有所帮助,因为 HAProxy

  1. 不支持 UDP 传输
  2. 即使有,它也不会给你区分“坏”数据包和“好”数据包的方法——也就是说,它不能充当过滤器

可用的选项取决于“坏”数据包的特征。

如果您可以根据标头信息(IP 源/目标地址、UDP 源/目标端口)识别它们,那么最好的办法就是要求您的 ISP 过滤符合适当条件的数据包。

如果您需要内容检查或状态匹配,ISP 可能无法提供帮助(尽管问问也无妨),但需要设置自己的数据包过滤路由器,以便根据定义的标准进行过滤。pf/BSD 以及 netfilter/Linux 可能能够完成这项工作。

相关内容