Linux
丟棄與拒絕 DDoS
我問別的地方,我得到了這樣的回應:
使用 DROP 會將任何類型的 DDoS 攻擊變成 SYN 洪水,因為您的伺服器期望它永遠不會得到的 ACK 響應。即使你可以微調你的 tcp 超時選項,一些設置也被硬編碼到核心中。REJECT 非常快並且佔用很小的頻寬。更多資訊Google“丟棄與拒絕”。
我研究了他所說的話,他似乎是正確的,但我只是想確定一下。
使用 DROP 讓他等待超時(數據包在到達您的應用程序之前被丟棄)。你不寄回任何東西。
使用 REJECT 發送一個 RST 數據包,表示埠已關閉。
使用 DROP 更適合 DoS 保護,因為您不會發送任何內容。使用 REJECT 更“好”,因為有人錯誤地連接到您,知道埠立即關閉,並且不必等待超時。
syn flood 是指有人發送大量 syn 數據包以啟動大量連接(無論是否偽造),並且您為每個連接保留資源,而沒有真正的使用者使用它們。由於您用盡了所有資源,因此合法使用者無法使用您的服務。