私のサーバーの 1 つが継続的に UDP DDOS 攻撃を受けています。約 500Mb/s、700k PPS。ダウンリンクは 10Gbit なので、これがボトルネックではありません。
私の IPTABLES では、ipset 経由で「ホワイトリスト」を作成し、ゲーム サーバーに到達しようとする他のすべてのトラフィックをドロップしています。
ipset セットには約 2000 個の IP アドレスと 10 個の CIDR 行が含まれています。セットの種類: netash
テーブル:生
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 match-set allowip src
DROP udp -- 0.0.0.0/0 135.x.x.x udp dpt:30120
これとてもうまくいった攻撃の PPS が増加し始めるまで。
サーバーはまだ稼働しており、遅延も発生していませんが、攻撃中のこの大量のパケットの中で、IPTABLES はホワイトリストに登録された IP を処理するのに苦労しているようです。プレイヤーの 50% は、IP が allowip ipset リストでホワイトリストに登録されている場合でも、ゲーム内で接続の問題が発生しています。CPU 使用率もそれほど高くありません。
これは iptables の最大 PPS の制限によるものでしょうか? それとも、速度を上げるために何かできるのでしょうか?
ありがとう!