我目前使用IP地址阻止小规模的DDOS攻击,但是所有的数据包都是相同的大小,1514位,我不想用一堆IP填充ACL规则。 在阅读思科文档之后,应该可以通过数据包长度运算符进行过滤,但是它似乎不起作用,我从来没有尝试过。 这是我用的:
拒绝任何分组长度eq 1514
有没有人使用包长度运算符,这是正确的用法呢?
1514字节只是完整的IP数据包(1500字节)加上14字节的以太网报头的大小。 你会阻止你不想阻止的stream量,如果你这样做。
你应该联系你的ISP,看看他们是否会帮助。 大多数互联网服务提供商都有能力处理这个问题,因为他们每天都在处理这些问题 他们可以在最后阻止它,这将防止DDOS填满你的电路。 即使你在进入时阻止了数据包,它们仍然可以填满你的电路,尽pipe它们不会再在你的服务器上跳动。