最近我的服务器得到syn洪水攻击。 我使用hitcount限制,但是我想知道单个用户IP的合法synstream量的最大速率是多less。 我使用的基于源IP的规则是打击;
iptables -A INPUT -p tcp --syn -m recent --update --seconds 15 --hitcount 20 --name SYNF -j DROP 它比20分/ 15秒的下降更多。
另外我想知道连接/时间速率与networking内容或浏览器行为之间的相关性。
答案是非常主观的。 这取决于你认为是合法的。
比较一个非常hibernate的networking服务器和一个非常成功的网站,你会有不同的速率限制容忍。
这取决于你是否想要保守或积极地放弃连接。
首先开始收集“正常使用”(使用像仙人掌,munin,mrtg,collectd等工具),然后你就可以设置比正常阈值高10〜20%的限制。 否则,你将不知道什么是正常情况和攻击(直到太晚)。
我想说,如果你没有高stream量的服务器,那么这个限制应该很低,并且在高性能的服务器上最终会稍微高一些。