我问了别的地方,我得到了这个回应:
使用DROP可将任何types的DDoS攻击转换为SYN泛洪,因为您的服务器预期不会得到ACK响应。 即使你可以微调你的TCP超时选项,一些设置硬编码到内核中。 REJECT非常快,占用的带宽很小。 欲了解更多信息Google“下降与拒绝”。
我研究了他所说的话,他似乎是正确的,但我只是想确认一下。
使用DROP使他等待超时(数据包在到达应用程序之前被丢弃)。 你不会送回任何东西。
使用REJECT你发送一个RST包,说该端口是closures的。
使用DROP更适合DoS防护,因为您不会发送任何内容。 使用REJECT是一个“更好的”,因为有人连接到你的错误,知道端口立即closures,而不必等待超时。
一个syn洪水是有人发送大量的SYN数据包来启动大量连接(假或不假),并为每个连接保留资源,而没有真正的用户使用它们。 由于您使用了所有资源,因此合法用户无法使用您的服务。