Einer meiner Server ist einem ständigen UDP-DDOS-Angriff ausgesetzt. ~500 Mbit/s und 700.000 PPS. Ich habe einen 10-Gbit-Downlink, das ist also nicht der Engpass.
In meinen IPTABLES habe ich über IPset eine „Whitelist“ erstellt und den gesamten anderen Datenverkehr, der versucht, meinen Spieleserver zu erreichen, blockiert.
Der IPset-Satz enthält ca. 2000 IP-Adressen und 10 CIDR-Zeilen. Typ des Satzes: netash
Tisch:ROH
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 match-set allowip src
DROP udp -- 0.0.0.0/0 135.x.x.x udp dpt:30120
Dashat sehr gut funktioniertbis der PPS der Angriffe zu steigen begann.
Obwohl der Server noch aktiv ist und keine Verzögerungen aufweist, scheint IPTABLES während des Angriffs bei dieser hohen Paketanzahl große Schwierigkeiten mit der Verarbeitung der Whitelist-IPs zu haben. 50 % der Spieler haben Verbindungsprobleme im Spiel, selbst wenn ihre IP in der AllowIP-IPset-Liste auf der Whitelist steht. Auch die CPU-Auslastung ist nicht wahnsinnig hoch.
Ist das eine Art Begrenzung der maximalen PPS in iptables? Oder kann ich etwas tun, um die Geschwindigkeit zu erhöhen?
Danke!