私は Syn 攻撃とフラッドに対する基本的な IPTABLES 保護を探していたのですが、次のコマンドを見つけました:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP //syn protect
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP //xmas packets protect
彼らは本当にこの種の攻撃を阻止するのに役立つのでしょうか?
答え1
そうですね、それらは特定の種類の (D)DOS 攻撃をブロックするフィルターなので、その通りです。ただし、IP 層またはそれ以上の層でサーバーを DOS/DDOS する方法はたくさんあるため、それらは決して万能薬ではありません。
ここには、他のいくつかの形式の DOS 攻撃用のフィルターがあります。http://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html
特定の種類のパケットのレートを制限する方法として、バケット フィルタリングを検討することをお勧めします。 https://en.wikipedia.org/wiki/トークンバケット
https://en.wikipedia.org/wiki/リーキーバケット
IPTables でのレート制限の詳細については、こちらをご覧ください。 http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html