最近,我一直在使用一系列 IP 地址对我的邮件服务器进行 DDOS 攻击。我一直在用防火墙一一屏蔽这些IP地址。这个过程过去和现在仍然很痛苦,所以我联系了负责这些 IP 地址的 ISP,但什么也没做。现在我需要找出它们所属的地址池,以便我可以简单地阻止整个该死的地址池。有人知道如何做到这一点吗?
我建议您设置iptables限制每个主机的连接数。Ddos可以使用无限数量的IP地址
sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
sudo iptables -A INPUT -j REJECT
-p tcp --dport 25 => 指定端口 25 (smtp) 上的流量。
-m state NEW => 此规则适用于新连接。
-m limit --limit 50/minute --limit-burst 200 -j ACCEPT =>这就是防止DOS的本质。
--limit-burst 有点令人困惑,但简而言之,在应用每分钟 50 个新连接(数据包)的限制之前,允许 200 个新连接(实际上是数据包)。
第二条规则-限制建立交通此规则适用于RELATED与ESTABLISHED所有流量上的所有端口综上所述,50 ESTABLISHED(和/或RELATED)连接(数据包真)是限制之前允许的50 ESTABLISHED(和/或RELATED每秒)连接(数据包)被应用。
或对所有输入使用一组规则
sudo iptables -A INPUT -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo iptables -A INPUT -j REJECT
你也有来自Oli 的回答和使用whois
对于 IP 分配块,您可以只使用whois您拥有的 IP。通常,这只能让您达到 ISP 级别,除非您谈论的是一家足够大、拥有自己的分配的公司。例如,如果输入其中一台服务器的 IP 地址,我会看到以下内容:
$ whois 109.74.xxx.yyy\n% This is the RIPE Database query service.\n% The objects are in RPSL format.\n%\n% The RIPE Database is subject to Terms and Conditions.\n% See http://www.ripe.net/db/support/db-terms-conditions.pdf\n\n% Note: this output has been filtered.\n% To receive output for a database update, use the "-B" flag.\n\n% Information related to \'109.74.192.0 - 109.74.199.255\'\n\n...\n那里的方块是109.74.192.0 - 109.74.199.255. 您可以使用子网计算器(或大脑)来计算出那个109.74.192.0/21,然后阻止它。
...但是那是很多服务器,而不仅仅是我的。
\n\n不过,DDoS 似乎不太可能仅来自一个网络。这个答案的其余部分假设我们实际上正在谈论来自许多网络的东西,尽管它的一部分可能仍然适用于单网络入口。
\n\n除非你能进入这个僵尸网络 \xe2\x80\x94的命令和控制情况(这是极不可能的\xe2\x80\x94),否则你永远不会知道它的完整范围,你永远不会知道哪些 IP它包含与您连接的内容以外的内容。
\n\n这很可能不是拒绝服务攻击,它可能是:
\n\n人们试图侵入 MTA。与任何服务一样,它们偶尔会包含可以测试的缺陷。邮件服务器特别健谈且配置不佳,这使它们成为一个很好的目标。你对此无能为力。
是开放式继电器吗?垃圾邮件发送者只是通过您的机器转发他们的电子邮件吗?如果是,请停止运行开放继电器。
我通常建议不要运行邮件服务器。专业人士(因为他们唯一的工作)往往会做得更好:专注的安全性、更大、更强大的网络以及通过每天扫描数千亿封传入电子邮件而获得的更好的垃圾邮件检测。成本通常是非常合理的。
\n