我最近遭受了很多 DDOS 攻击,并且只给出了攻击者的 IP。
我想通过 IPtables 来阻止它们。每次 IP 范围都相同,但实际 IP 不同。
我如何创建适当的 IP 范围,以便在不知道网络掩码的情况下通过防火墙阻止它们?
答案1
假设地址范围是 192.168.1.*
要阻止的是 192.168.1.* 地址:
sudo iptables -A INPUT -s is 192.168.1.0/24 -j DROP
要阻止的是 192.168.。地址:
sudo iptables -A INPUT -s 192.168.0.0/16 -j DROP
至区块 192。。.* 地址:
sudo iptables -A INPUT -s 192.0.0.0/8 -j DROP
但你必须注意,这也会阻止来自同一范围的合法流量
答案2
您还可以通过设置限制来自动化未知的 IP 范围:
sudo iptables -A INPUT -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
- -m limit:使用限制 iptables 扩展
- –limit 50/minute:每分钟最多限制 50 个连接。
- –limit-burst 200:此值表示仅当连接总数达到限制突发水平后,才会强制执行每分钟的限制。