我一直在尋找一些針對 Syn 攻擊和洪水的基本 IPTABLES 保護,我發現了以下命令:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP //syn protect
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP //xmas packets protect
他們真的能幫助阻止此類攻擊嗎?
答案1
嗯,它們是阻止特定類型的 (D)DOS 攻擊的過濾器,所以是的。然而,它們絕不是萬能的,因為在 IP 層或更高層對伺服器進行 DOS/DDOS 的方法有很多。
這裡有針對其他幾種形式的 DOS 攻擊的過濾器:http://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html
我建議您研究桶過濾,作為限制某些類型資料包速率的方法。 https://en.wikipedia.org/wiki/Token_bucket
https://en.wikipedia.org/wiki/Leaky_bucket
有關 IPTables 中的速率限制的更多信息,請參見此處: http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html