我寻找解决方案很长时间但找不到任何有用的东西。
我的网络服务器由防火墙(带有 ufw 用户界面的 iptables)保护。默认为拒绝所有,并且只开放部分端口。服务器由 prtg 监控。
我的问题是,有人每秒尝试访问被阻止的端口几次。如果发生这种情况,监控工具会报告 ping 超时。
简单的 DDOS deflate 脚本配置为阻止超过 100 个请求。未达到此数量。
我的问题是:是否有可能防止此类事件发生?防火墙的阻断是否会消耗大量性能?
答案1
这里有很多不同的答案,但一般来说,软件防火墙并非旨在阻止 DoS 攻击。是的,当防火墙对大量流量进行分类时,它会占用大量资源。如果只有一个人试图访问这些被阻止的端口,则可以联系您的托管服务提供商并阻止主干网上的 IP,这样它就不会到达您的服务器。
根据您的网站/应用程序的大小,可能需要开始考虑硬件防火墙。
以下是我针对类似主题的另一个回答:
答案2
我最好的猜测是你的 ufw 规则正在记录所有的块;我过去看到过,这会产生大量的磁盘活动,并且系统变得太忙而无法处理其他任何事情(例如其他传入数据包)。
降低您的日志记录级别,或为您的日志规则添加速率限制。
答案3
我见过 iptables 有超过 2,000 条规则并且运行良好,并不是说拥有“2,000+”条规则是一件好事,现在绝对是时候切换到更强大的防火墙解决方案了。但你明白我的意思。
从性能角度来看,答案是否定的