如果 INPUT 和 FORWARD 链上的 NEW 状态连接被丢弃，那么反 DDoS 规则是否没有必要？

Question

如果将默认策略设置为 DROP，为什么还要指定任何其他规则？

iptables -P INPUT DROP

这项政策通常只有一些例外到默认的 DROP 策略，即您想要允许进入的传入流量......

如果没有任何例外，为什么还要费心进一步检查您的流量？

所谓的 DDOS 保护规则所做的唯一的事情就是需要额外的处理（甚至可能增加 DDOS 攻击的有效性）。

你的逻辑现在看起来像：

if (something) then 
     DROP
else if (something_else) then 
     DROP
else if (something_else) then 
     DROP
else if (something_else) then 
     DROP
fi

# For everything that wasn't caught by the previous rules:
DROP any way

这有点傻，对吧？

Answer 1

如果将默认策略设置为 DROP，为什么还要指定任何其他规则？

iptables -P INPUT DROP

这项政策通常只有一些例外到默认的 DROP 策略，即您想要允许进入的传入流量......

如果没有任何例外，为什么还要费心进一步检查您的流量？

所谓的 DDOS 保护规则所做的唯一的事情就是需要额外的处理（甚至可能增加 DDOS 攻击的有效性）。

你的逻辑现在看起来像：

if (something) then 
     DROP
else if (something_else) then 
     DROP
else if (something_else) then 
     DROP
else if (something_else) then 
     DROP
fi

# For everything that wasn't caught by the previous rules:
DROP any way

这有点傻，对吧？

如果 INPUT 和 FORWARD 链上的 NEW 状态连接被丢弃，那么反 DDoS 规则是否没有必要？

答案1

相关内容