我目前正在遇到我的服务器上的大量UDP攻击。 我主持了几个游戏服务器,主要是Tf2,CS:GO,CS 1.6和CS:Source,我的1.6服务器正在被淹没。 我在iptables中尝试了不同的规则,但似乎没有一个可行。 我在100Mbps的带宽资费,但我收到的洪水是500 + Mbps。 这是最新的tcpdump的日志 – > http://pastebin.com/HSgFVeBs数据包的长度在一天中变化。 只有我的游戏服务器端口被淹没 – 通过UDP数据包27015,27016,27018。 有没有任何iptables的规则,可能会阻止这个?
唯一可以帮助你的iptable规则将会放弃所有进入这些端口的stream量。 问题在于你的服务也会下降。 你唯一能做的就是和你的ISP通话,并要求他们在你到达之前丢弃所有的udpstream量。
如果你有一个单独的(或分离的)游戏用户login方式(不是通过UDP),你可以保留所有的UDP端口被拒绝,并build立一个dynamic的允许login用户的源地址的方法。 正如卢卡斯·考夫曼(Lucas Kauffman)所说,你需要在上游做这件事,以避免你的链接饱和。 安排上游让你在login的源主机上做dynamic允许会更加复杂。 你可能需要运行你自己的路由器(可以处理500mbps的攻击),你可以进行dynamic过滤。