udp洪水在linux里能否做防御？[DOS攻击]

Chrissl

单一IP来的UDP洪水，占了90%+的带宽，不知linux中有无办法防御这一类DOS攻击？

platinum

单一 IP 过来可以用 iptables DROP
但是占用 90% 的带宽你无法阻止，因为你不能拒绝他向你发包，即使该包可以进入网卡后丢弃

bingosek

只有你把它发过来的包drop掉不回应就可以减少带宽占用了
你也可以在上级设备上拦截，比如你上级是ISP的话就给他们一个电话

mig-ling

你可以在局域网里用tfn2k测试一下，多用几个攻击端，看看linux的iptables是否挺的住。     
一两个攻击端，linux是没啥影响的。
10以上，就比较难说了。

Chrissl

恩，对方是ADSL的线路，发动攻击后(据说是阿拉丁udp洪水攻击器)我这边10M的带宽全耗尽。有这么厉害？郁闷

Chrissl

原帖由 "bingosek" 发表：
只有你把它发过来的包drop掉不回应就可以减少带宽占用了
你也可以在上级设备上拦截，比如你上级是ISP的话就给他们一个电话

iptables -I INPUT -p udp -j DROP?  udp所有的包都丢弃？还是有什么更好的办法？

Chrissl

我想一根ADSL的线路 怎么可能堵死10M的电信线路？

platinum

原帖由 "Chrissl" 发表：


iptables -I INPUT -p udp -j DROP?  udp所有的包都丢弃？还是有什么更好的办法？

我认为你主要没有明白 DoS 攻击的危害
DoS 攻击一般有 2 种危害
一种是对系统本身的，一种是对网络带宽的
一般情况下，由于传统 TCP/IP 协议栈存在漏洞，针对 syn-flood 来说，就是建立半连接，耗尽系统，这种就可以通过修改 TCP/IP 的连接方式来缓解；如果是 udp-flood，也可以用类似的方法进行缓解
另一种情况，就是攻击量很大的时候，即使你可以缓解攻击对系统造成的危害，但是数据包已经塞满了整个网络，你仍然无法正常提供服务，这种情况下，最好的方法，就是报案，然后通知上级 ISP，除了这个你还需要做的就是静静等待和祈祷。。。

bingosek

DOS和RDOS都不可怕，一旦弄上了
DDOS和RDDOS就惨了