我的一台服务器不断遭受 UDP DDOS 攻击。~500Mb/s 和 700k PPS。我有 10Gbit 下行链路,所以这不是瓶颈。
在我的 IPTABLES 中,我通过 ipset 创建了一个“白名单”,并丢弃了所有试图到达我的游戏服务器的其他流量。
ipset 集合包含约 2000 个 IP 地址和 10 个 CIDR 行。集合类型:netash
桌子:生的
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 match-set allowip src
DROP udp -- 0.0.0.0/0 135.x.x.x udp dpt:30120
这效果很好直到攻击的 PPS 开始增加。
虽然服务器仍然运行且没有延迟,但 IPTABLES 似乎很难在攻击期间处理如此高数据包数的白名单 IP。即使 IP 在 allowip ipset 列表中被列入白名单,50% 的玩家在游戏中也会遇到连接问题。CPU 使用率也不是很高。
这是 iptables 中最大 PPS 的某种限制吗?或者我可以做些什么来加快速度?
谢谢!