最大合法 SYN 流量速率是多少

最大合法 SYN 流量速率是多少

最近我的服务器遭受了 syn 洪水攻击。我使用了 hitcount 限制,但我想知道什么是最大速率单个用户 IP 的合法 syn 流量。我使用的基于源 IP 的规则是:

iptables -A INPUT -p tcp --syn -m recent --update --seconds 15 --hitcount 20  --name SYNF -j DROP

其丢弃数据包的速率超过了 20 个数据包/15 秒。

我还想知道连接/时间速率和网络内容或浏览器行为之间有什么关联。

答案1

答案非常主观。这取决于你认为什么是合法的。

将一个非常休眠的网络服务器与一个非常成功的网站进行比较,您会发现不同的速率限制容忍度。

这取决于您是想保守地还是积极地断开连接。

首先从收集“正常使用情况”开始(使用 cacti、munin、mrtg、collectd 等工具),然后您可以将限制设置为高于正常阈值 10~20%。否则您将不知道什么是正常情况,什么是攻击(直到为时已晚)。

我想说,如果您没有高流量服务器,则限制应该较低,而对于高性能服务器,限制应该稍高一些。

相关内容