我运行的是带有 garrysmod 服务器的 debian linux VPS 服务器。今天我遭受了一次 DDoS 攻击,我可以使用 tshark 记录以下内容:
4.213248 91.204.63.5 -> 176.58.101.xx UDP Source port: 28960 Destination pot: 28915
4.213252 194.146.132.110 -> 176.58.101.xx UDP Source port: 28960 Destinationport: 28915
4.213257 217.65.3.29 -> 176.58.101.xx UDP Source port: 28960 Destination pot: 28915
4.213261 208.167.240.68 -> 176.58.101.xx UDP Source port: 28960 Destination ort: 28915
4.213266 94.141.160.17 -> 176.58.101.xx QUAKE3 Connectionless Server to Clien
4.213270 83.217.192.242 -> 176.58.101.xx UDP Source port: 28960 Destination ort: 28915
4.213275 188.134.31.51 -> 176.58.101.xx UDP Source port: 28967 Destination prt: 28915
4.216109 208.167.xx4.111 -> 176.58.101.xx UDP Source port: 28960 Destinationport: 28915
4.216125 66.55.149.202 -> 176.58.101.xx UDP Source port: 28960 Destination prt: 28915
4.216133 208.167.xx4.27 -> 176.58.101.xx UDP Source port: 28960 Destination ort
4.216176 85.21.79.xx -> 176.58.101.xx UDP Source port: 28960 Destination pot: 28915
4.216183 208.167.xx4.127 -> 176.58.101.xx UDP Source port: 28960 Destinationport: 28915
4.216190 94.229.34.11 -> 176.58.101.xx UDP Source port: 28960 Destination pot: 28915
4.216197 91.203.178.84 -> 176.58.101.xx QUAKE3 Connectionless Server to Client
我刚刚发现有些数据包有 Quake3 协议,这很奇怪,因为我没有托管任何 Quake 服务器。我的问题是,我可以使用 iptables 过滤带有 Quake3 无连接协议的传入数据包吗?如果可以,该怎么做?
答案1
一般来说这不是 DDOS,而是洪水攻击,无法通过 iptable 规则阻止。这里的逻辑是让您的上行链路充满流量,这样服务器就无法访问,不幸的是,在这种情况下,只有上游提供商或服务器所在的数据中心才能纠正这种情况。