Ubuntu
無法阻止 DDOS
我需要一些幫助來處理 ddos。我的伺服器遇到 1gb ddos 攻擊,我不知道如何阻止它。(1gbs 是伺服器的最大速度。)
我有以下 iptables 規則:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 8080 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j DROP
但是使用 tcpdump 我可以看到來自埠 53 的數據包
12:14:40.341410 IP 195.137.162.149 > x.x.x.x: ip-proto-17 12:14:40.341411 IP 193.169.188.52.53 > x.x.x.x.23495: 23454- 0/4/6 (234) 12:14:40.341414 IP 195.248.88.120 > x.x.x.x: ip-proto-17 12:14:40.341416 IP 193.19.184.42.53 > x.x.x.x.50529: 26701| 6/0/1 TXT[|domain] 12:14:40.341418 IP 192.41.13.71.53 > x.x.x.x.10634: 23454| 6/0/1 TXT[|domain] 12:14:40.341418 IP 50.97.53.214.53 > x.x.x.x.65437: 23454| 6/0/1 TXT[|domain] 12:14:40.341419 IP 192.3.130.149.53 > x.x.x.x.57519: 24820| 6/0/1 TXT[|domain] 12:14:40.341438 IP 195.182.58.136 > x.x.x.x: ip-proto-17 12:14:40.341441 IP 193.234.216.12 > x.x.x.x: ip-proto-17 12:14:40.341442 IP 195.228.85.145.53 > x.x.x.x.7903: 37969| 6/0/1 TXT[|domain] 12:14:40.341512 IP 192.195.177.60.53 > x.x.x.x.42871: 57501- 0/13/23 (718) 12:14:40.341552 IP 192.210.150.10.53 > x.x.x.x.41447: 25994| 6/0/1 TXT[|domain] 12:14:40.341556 IP 193.28.177.41 > x.x.x.x: ip-proto-17
iptables -xnvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 415575 293176304 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED 24101 1323153 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 19725 1182436 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 2 104 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 13101233 35329988490 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 488686 packets, 518540789 bytes) pkts bytes target prot opt in out source destination
在 nginx 我有
limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
在此螢幕截圖中,您可以看到實際數字。我的正常使用量不超過 5mb/秒。
網路統計-ntu | awk ‘{列印 $5}’ | 切-d:-f1 | 排序 | 唯一的-c | 排序-n | 尾巴 | grep -v “127.0.0”
13 87.149.x.x 14 95.68.x.x 15 109.186.x.x 15 84.108.x.x 15 91.231.x.x 17 162.17.x.x 18 82.212.x.x 82 151.248.x.x 94 79.180.x.x
據我所知,
iptables
問題是一個紅鯡魚:您的規則很好地丟棄了這些數據包,因此非常大的數據包計數在您的第五條也是最後一條規則(DROP
規則)中。我從您的問題中推測您不僅希望刪除它們,而且根本不想在您的埠上看到它們,而這只能通過與您的提供商交談來實現。簡單地讓他們阻止源埠 53 的所有入站 UDP 流量可能會停止伺服器工作,因為它會破壞 DNS,但如果您可以將伺服器重新配置為僅使用兩個或三個特定的上游 DNS 伺服器,則有可能獲得您的提供商阻止所有其他入站埠 53 流量。
編輯:我對你可憐的供應商表示同情。我認為硬體防火牆的問題無關緊要:其中之一不會阻止流量傳遞到您的埠,它只會位於您的埠和伺服器之間,並阻止流量消耗伺服器上的資源。由於我在上面沒有看到任何證據表明它會導致伺服器上的任何資源問題,我看不出這會對您有什麼幫助。
負責任的供應商同意暫時阻止某些類型的到港口的流量確實是很正常的,但是如果您的供應商不這樣做,那麼我認為您無能為力,只能聳聳肩,度過難關,然後在您的契約到期續籤時查看其他提供商。