我目前正在阻止使用 IP 地址的小规模 DDOS 攻击,但所有数据包的大小都相同,为 1514 位,我有点不想用一堆 IP 填充 ACL 规则。阅读 Cisco 文档后,应该可以通过数据包长度运算符进行过滤,但它似乎不起作用,我从未尝试过。这是我使用的:
拒绝任何 IP 数据包长度 eq 1514
是否有人曾经使用过数据包长度运算符?这是它的正确用法吗?
答案1
1514 字节只是一个完整 IP 数据包(1500 字节)加上 14 字节以太网头的大小。如果这样做,您将阻止您不想阻止的流量。
您应该联系您的 ISP,看看他们是否愿意提供帮助。大多数 ISP 都具备处理此类问题的能力,因为他们每天都要处理此类问题。他们可以在自己的终端阻止此类攻击,从而防止 DDOS 攻击占满您的线路。即使您在入口处阻止了数据包,它们仍会占满您的线路,尽管它们不会再攻击您的服务器了。