最近我的服务器遭受了 syn 洪水攻击。我使用了 hitcount 限制,但我想知道什么是最大速率单个用户 IP 的合法 syn 流量。我使用的基于源 IP 的规则是:
iptables -A INPUT -p tcp --syn -m recent --update --seconds 15 --hitcount 20 --name SYNF -j DROP
其丢弃数据包的速率超过了 20 个数据包/15 秒。
我还想知道连接/时间速率和网络内容或浏览器行为之间有什么关联。
答案1
答案非常主观。这取决于你认为什么是合法的。
将一个非常休眠的网络服务器与一个非常成功的网站进行比较,您会发现不同的速率限制容忍度。
这取决于您是想保守地还是积极地断开连接。
首先从收集“正常使用情况”开始(使用 cacti、munin、mrtg、collectd 等工具),然后您可以将限制设置为高于正常阈值 10~20%。否则您将不知道什么是正常情况,什么是攻击(直到为时已晚)。
我想说,如果您没有高流量服务器,则限制应该较低,而对于高性能服务器,限制应该稍高一些。