iptables 是否有限制 /24 范围 IP 可以发送的 SYN 数据包数量的规则?
当它们向我的 ubuntu 12.04 服务器发送太多 SYN 数据包时,如何阻止整个 C 类 IP 块?
我在 SYN 洪水攻击期间看到的示例:
每个不同的 IP 只发送 1 个 SYN 数据包,因此防火墙不会阻止它。但是整个范围192.132.209.*在很短的时间内发送了很多 SYN 数据包。
服用10.0.0.0/24个例子,像
iptables -A INPUT -p tcp -s 10.0.0.0/24 --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
应该完成这项工作并且非常具有自我描述性,因此我想不需要任何解释。这是一篇关于如何防止 TCP SYN 洪水攻击的易于阅读的好文章: Linux Iptables 限制传入 tcp 连接/syn-flood 攻击的数量。它解释了有关选项的更多信息,并提供了更广泛的方式(日志记录、单独的链等)。
我无法iptables从这里看到您的当前状态,因此您可能需要将其添加到顶部INPUT或将其正确集成到您当前的脚本中。
在您提到的评论中,您正在寻找一种自动方式来查找这些 IP 块。好吧,我应该在命令 ( ) 中省略源地址过滤器-s 10.0.0.0/8,这样限制将适用于整个世界。