Lan*_*fee 1 security linux firewall iptables ddos
我在别处问过,得到了这样的回答:
使用 DROP 会将任何类型的 DDoS 攻击变成 SYN 洪水,因为您的服务器期望它永远不会得到 ACK 响应。即使您可以微调您的 tcp 超时选项,一些设置也被硬编码到内核中。REJECT 速度非常快,占用的带宽很小。有关更多信息,请谷歌“丢弃与拒绝”。
我研究了他说的话,他似乎是正确的,但我只是想确定一下。
mul*_*laz 6
使用 DROP 使他等待超时(数据包在到达您的应用程序之前被丢弃)。你什么都不寄。
使用 REJECT 发送 RST 数据包,说明端口已关闭。
使用 DROP 更适合 DoS 保护,因为您不发送任何内容。使用 REJECT 是“更好的”,因为有人错误地连接到您,知道端口立即关闭,而不必等待超时。
同步泛滥是指有人发送大量同步数据包以启动大量连接(无论是否伪造),并且您为每个连接保留资源,而没有真正的用户使用它们。由于您耗尽了所有资源,合法用户无法使用您的服务。
归档时间:
13 年,3 月 前
查看次数:
2473 次
最近记录: