我最近受到70MBPS左右的非常小的攻击,但导致了TONS的上传……所有的迹象都指向了ICMP。 我在防火墙上实现了在CentOS上运行CSF防火墙,我对ICMP速率没有任何限制… Woops。 :P
还有什么我应该阻止? 我们主要是游戏服务器,所以显然阻止所有传入的ICMPstream量是一个不是。 还是呢? 这就是为什么我在这里:D
感谢您的任何提示,
杰里米
**也快速编辑,我们在一个100MBPS的端口,当前的防火墙能够阻止通常的DDoS攻击超过600MB而不会冒汗。
阻止所有的ICMP绝对不是一个禁忌,所以我会这样做,至less作为一个临时的解决办法,如果一些客户/玩家抱怨他们不能ping你的服务器。
如果你使用ping进行服务器监控,阻止ICMP也是不好的,但是我想你已经知道了;-)
听起来像是reflection/放大攻击,如果你看到很多stream量出去。 不幸的是,你不能做太多的打击你的防火墙的70mbit,但你可以尽量减less多lessstream量离开你的networking。 我有一段时间没有看到ICMP的使用。 通常是DNS。
但是如果你发现它被滥用,我会限制ICMP。 而且这些types的攻击通常看起来是来自单个ip或netblock。 这些都是欺骗性的,所以这个答复会淹没他们的目标。 你可以很容易地阻止这些IP地址和networking块。
我也仔细检查一下,你没有看到使用DNS的东西,因为它似乎是这些types的攻击最滥用的系统。 validation您不允许来自WAN的DNS查询命中您的本地recursionDNS服务器。
一旦您的出站stream量受到控制,如果问题仍然存在,您可以与您的ISP合作,尝试阻止滥用stream量。
iptables -t filter -I INPUT -i interface -p icmp -icmp -type any -m limit -limit 1 / s -j ACCEPT
iptables -t filter -I OUTPUT -p icmp -icmp -type any -m limit –limit 1 / s -j ACCEPT
这会将任何types的icmp传入和传出请求限制为1 / s,或者只能通过指定“8”或“echo”来指定回显请求
当然,它不能阻止攻击,但可以最大限度地减less传入和传出的请求。
除非您允许并响应广播地址上的请求,否则ICMP不应引起放大。 DNS放大是可能的,并可能是在另一个网站上的DDOS攻击。 您可能能够过滤掉这些地址。
尝试closures您的DNS服务器,看看它是否解决输出问题。 如果是的话,你可以采取以下几个步骤:
如果没有,你将需要确定的交通types。 你可以做很多事情:
速率限制连接或阻止发送地址应该有助于解决问题。 如果您的连接数量太高,您可能需要提供商提供帮助。
我们使用思科硬件防火墙,但是我们阻止了一切(包括ICMP,从字面上来看都是),然后只允许特定的IP和端口。 这显然是更多的努力,以确保事情正常工作,但也绝对让我睡一个晚上。