策略来阻止UDP欺骗攻击

数据包的边际为每秒200,000〜800,000,UDP欺骗(0字节/ 46字节)

我有一个Linux的deb 6和Windows Server 2003正在受到打击。

目前的想法: – 先设置一个代理服务器来过滤掉攻击。 HAProxy会工作吗? 我需要一个带有PF的BSD盒吗? 我需要寻找什么来过滤? 我需要端口被击中,但必须有一种方法来过滤和阻止坏的数据包?

正如你所说的“你需要这个端口”,我假定你正在为DoS攻击的UDP端口提供某种公共服务。 使用HAProxy并不能帮助你做HAProxy

  1. 不支持UDP传输
  2. 即使这样做,它也不会给你的手段来区分“坏”的数据包和“好”的数据包,即不会作为一个filter

可用选项取决于“坏”数据包的特性。

如果您可以根据标题信息(IP源/目标地址,UDP源/目的地端口)来标识它们,最好的方法是让您的ISP过滤符合相应标准的数据包。

如果您需要内容检查或状态匹配,ISP可能无法提供帮助(虽然这不会有什么不妥),但是需要build立一个自己的包过滤路由器,能够按照定义的标准进行过滤。 pf / BSD以及netfilter / Linux将可能能够完成这项工作。