高 pps UDP 攻击期间 iptables 的性能

高 pps UDP 攻击期间 iptables 的性能

我的一台服务器不断遭受 UDP DDOS 攻击。~500Mb/s 和 700k PPS。我有 10Gbit 下行链路,所以这不是瓶颈。

在我的 IPTABLES 中,我通过 ipset 创建了一个“白名单”,并丢弃了所有试图到达我的游戏服务器的其他流量。

ipset 集合包含约 2000 个 IP 地址和 10 个 CIDR 行。集合类型:netash

桌子:生的

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            match-set allowip src
DROP       udp  --  0.0.0.0/0            135.x.x.x            udp dpt:30120

效果很好直到攻击的 PPS 开始增加。

虽然服务器仍然运行且没有延迟,但 IPTABLES 似乎很难在攻击期间处理如此高数据包数的白名单 IP。即使 IP 在 allowip ipset 列表中被列入白名单,50% 的玩家在游戏中也会遇到连接问题。CPU 使用率也不是很高。

这是 iptables 中最大 PPS 的某种限制吗?或者我可以做些什么来加快速度?

谢谢!

相关内容