那些遇到过的问题

丢弃与拒绝 DDoS

Lan*_*fee 1 security linux firewall iptables ddos

我在别处问过,得到了这样的回答:

使用 DROP 会将任何类型的 DDoS 攻击变成 SYN 洪水,因为您的服务器期望它永远不会得到 ACK 响应。即使您可以微调您的 tcp 超时选项,一些设置也被硬编码到内核中。REJECT 速度非常快,占用的带宽很小。有关更多信息,请谷歌“丢弃与拒绝”。

我研究了他说的话,他似乎是正确的,但我只是想确定一下。

mul*_*laz 6

使用 DROP 使他等待超时(数据包在到达您的应用程序之前被丢弃)。你什么都不寄。

使用 REJECT 发送 RST 数据包,说明端口已关闭。

使用 DROP 更适合 DoS 保护,因为您不发送任何内容。使用 REJECT 是“更好的”,因为有人错误地连接到您,知道端口立即关闭,而不必等待超时。

同步泛滥是指有人发送大量同步数据包以启动大量连接(无论是否伪造),并且您为每个连接保留资源,而没有真正的用户使用它们。由于您耗尽了所有资源,合法用户无法使用您的服务。

  • 好吧,这不是“真正的”同步洪水。但你真的只能得到syn数据包。因此,使用 REJECT 将是 SYN&RST “泛滥”。如果您保留资源并等待真正的连接发生,那么真正的 SYN floopd 将是。 (2认同)

归档时间:

查看次数:

2473 次

最近记录:

13 年,3 月 前
我在 DDoS 下。我能做什么? 183
更多相关链接
相关归档
如何在不锁定自己的情况下将 Ubuntu 12.04 iptables 重置为默认值? 35
如何使用 Linux `find` 命令查看隐藏文件 24
如何在 Debian 上创建一个随机键控的加密交换分区,将其称为“by-uuid”? 10
使用 ssh 密钥时强制更改过期密码 6
为 /var/log/auth.log 启动什么服务 5
如何查看“最近”模块中的 IP 地址列表? 5
获取 virtio-net 网络适配器的链接速度 4
是否真的有必要在非托管断电之前调用 /bin/sync 两次? 3
cron 作业以删除具有特定名称的文件 1
在命令中执行命令 -1
难疑归档
.profile .bash_profile 和 .bashrc 之间的功能区别是什么 285
在大型技术会议上提供可靠的互联网接入和 Wi-Fi 有哪些障碍? 279
如何将 Microsoft SQL Server 数据库转储到 SQL 脚本? 139
要管理 10 台服务器,我是历史专业的 87
如何在 CentOS 上使用 firewall-cmd 打开特定 IP 地址的端口? 78
如何监控 logrotate 正在做什么? 65
使用 aws cli 从 Amazon S3 下载时导致拒绝访问的原因是什么? 60
相当于 OSX 上的 logrotate 56
什么是 ipv6 相当于 0.0.0.0/0 54
Windows 7:“本地主机名称解析在 DNS 本身内处理”。为什么? 53