我的系统中存在以下IPTables规则作为针对 DDoS 攻击的一些预防措施
-A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 255.0.0.0/8 -j DROP
-A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 0.0.0.0/8 -j DROP
是否限制私有IP Address Group,假设源自互联网私有 IP 地址范围的数据包实际上是欺骗性的 IP 地址。另外,如何计算上述子网对应的IP地址范围?
答案1
为任何带有以下内容的数据包-A INPUT -s添加一条规则来源就行指定的子网。
因此,在您的示例中,您将记录并丢弃源 IP 地址以 开头的所有数据包255,以及所有以 开头的数据包0,例如255.1.2.3.4或0.56.78.90
这里的想法是,永远不会有以这些地址开头的数据包,因此如果它们确实出现,它们一定是被欺骗的。
实际上,除了您列出的地址之外,还有更多无效或保留的 IP 地址可以添加到该列表中。
上面有很多资源子网以及大量在线子网计算器可以帮助您。在您的情况下,/8IP 地址的前 8 位指定网络,所有其他(其余 24 位)指定该子网内的主机。在这两个示例中,第一个八位位组(8 位)是网络,其他三个八位位组可以是任何值。因此,您255.0.0.0/8可以是从255.0.0.0到255.255.255.255,您0.0.0.0/8可以是从0.0.0.0到0.255.255.255。