禁用 ICMP 無法訪問的回复

我正在使用 Debian 6 - 64 位作業系統，我的伺服器不時通過 udp 協議進行 ddos​​ed/flooded。我基本上託管遊戲伺服器，我的防火牆設置為對允許埠上的數據包進行速率限制，但有時每個 IP 的速率很低，但 IP 的數量更多，所以我的伺服器向攻擊 IP 發送傳出的 icmp 無法訪問的回复，這沒有受益，但更阻塞/飽和埠。

我正在研究如何禁用此功能。實際上，受到攻擊的埠是允許通過防火牆的，我不能禁用它們，儘管它可以解決問題。我在某些埠範圍上執行了許多伺服器，因此我不能繼續一個接一個地接受這些埠，並決定允許我可能需要的總埠範圍。

我正在尋找一些核心能力來阻止這種情況？

為了防止發送 ICMP 不可達數據包，您可以使用 netfilter (iptables) 刪除它們：

iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j DROP

更好的是通過在 INPUT 流量上使用 DROP 目標而不是 REJECT 來防止它們首先生成（或者核心網路堆棧將創建無法訪問的回复而不是 netfilter）

我認為這不會解決您的問題；您需要確定 DDoS 的影響；它是使網路飽和還是消耗系統資源（CPU/記憶體等）。如果是網路，則將回復靜音可能會有所幫助，但您仍將線上接收傳入的數據包。

引用自：https://serverfault.com/questions/522709