Networking

禁用 ICMP 無法訪問的回复

  • August 1, 2021

我正在使用 Debian 6 - 64 位作業系統,我的伺服器不時通過 udp 協議進行 ddos​​ed/flooded。我基本上託管遊戲伺服器,我的防火牆設置為對允許埠上的數據包進行速率限制,但有時每個 IP 的速率很低,但 IP 的數量更多,所以我的伺服器向攻擊 IP 發送傳出的 icmp 無法訪問的回复,這沒有受益,但更阻塞/飽和埠。

我正在研究如何禁用此功能。實際上,受到攻擊的埠是允許通過防火牆的,我不能禁用它們,儘管它可以解決問題。我在某些埠範圍上執行了許多伺服器,因此我不能繼續一個接一個地接受這些埠,並決定允許我可能需要的總埠範圍。

我正在尋找一些核心能力來阻止這種情況?

為了防止發送 ICMP 不可達數據包,您可以使用 netfilter (iptables) 刪除它們:

iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j DROP

更好的是通過在 INPUT 流量上使用 DROP 目標而不是 REJECT 來防止它們首先生成(或者核心網路堆棧將創建無法訪問的回复而不是 netfilter)

我認為這不會解決您的問題;您需要確定 DDoS 的影響;它是使網路飽和還是消耗系統資源(CPU/記憶體等)。如果是網路,則將回復靜音可能會有所幫助,但您仍將線上接收傳入的數據包。

引用自:https://serverfault.com/questions/522709