Производительность iptables во время UDP-атаки с высоким pps

Производительность iptables во время UDP-атаки с высоким pps

Один из моих серверов постоянно подвергается атаке UDP DDOS. ~500 Мбит/с и 700 тыс. PPS. У меня 10-гигабитный нисходящий канал, так что это не узкое место.

В своем IPTABLES я создал «белый список» через ipset и отбрасываю весь остальной трафик, который пытается добраться до моего игрового сервера.

Набор ipset содержит ~2000 IP-адресов и 10 строк CIDR. Тип набора: netash

Стол:СЫРОЙ

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            match-set allowip src
DROP       udp  --  0.0.0.0/0            135.x.x.x            udp dpt:30120

Этотсработало очень хорошопока PPS атак не начал увеличиваться.

Хотя сервер все еще работает и не лагает, IPTABLES, похоже, с трудом обрабатывает IP-адреса из белого списка среди этого большого количества пакетов во время атаки. У 50% игроков возникают проблемы с подключением в игре, даже если их IP-адрес находится в белом списке allowip ipset. Загрузка ЦП также не слишком высока.

Это какое-то ограничение максимального PPS в iptables? Или можно что-то сделать для ускорения?

Спасибо!

Связанный контент