最近很多ROS被内网的DDOS的进来
最近很多人反映他们内网有机器中了某些恶意脚本 会向ROS发送大量的SYN 或者UDP FLOOD的包偶也终于尝到滋味了,那感觉就一个字,爽~~:')
献上几个策略,能缓解一下
首先声明,这策略不能100%防御~ 谁说能使用ROS 100%防御的,告诉偶一声,我认他当大哥,以后给他端茶倒水,洗衣做饭
主要功能如下:
1。丢弃所有的的从内网网卡发往ROS的包(前提是IP地址是伪造的)
2。丢弃所有的从内网网卡转发出去的包(前提是IP地址是伪造的)
自己试验结果如下:
1。小流量的SYN 和FLOOD完全可以顶住 并且不占用接入宽带的带宽(如果大流量肯定挂)
2。当遭到大流量的攻击的时候一旦攻击停止收敛速度非常快,基本上是攻击停止,ROS马上就正常工作
也只能做到这些了
脚本如下:
chain=forward in-interface=内网网卡名称 src-address=!内网网段 action=drop
chain=input in-interface=内网网卡名称 src-address=!内网网段 action=drop
注:我的内网网段为:192。168。0。0/24 这两条是什么?丢掉非内网的连接? 这样的话,浩方就用不起来了。 做个记号先`!!!!!!!!!!!! 小流量的SYN 和FLOOD完全可以顶住 并且不占用接入宽带的带宽(如果大流量肯定挂):lol
虽然没有什么实际效果
但还是谢谢了 内网的还不好办?! 比如内网网卡是LAN,外网网卡是WAN,内网网段是192。168。0。0/22,是不是下面这样:
chain=forward in-interface=LAN src-address=!192.168.0.0/22 action=drop
chain=input in-interface=WAN src-address=!192.168.0.0/22 action=drop chain=input in-interface=WAN src-address=!192.168.0.0/22 action=drop
不对
chain=input in-interface=LAN src-address=!192.168.0.0/22 action=drop chain=forward in-interface=lan src-address=192.168.30.0/24 action=drop
这个输入后内网会上不了网的 原帖由 kiss 于 2007-2-5 12:25 发表
chain=forward in-interface=lan src-address=192.168.30.0/24 action=drop
这个输入后内网会上不了网的
src-address是!192.168.30.0/24,请看清是非内网地址 感谢楼主 试验了一下 确实不错 原帖由 kiss 于 2007-2-5 12:25 发表
chain=forward in-interface=lan src-address=192.168.30.0/24 action=drop
这个输入后内网会上不了网的
chain=forward in-interface=lan src-address=!192.168.30.0/24 action=drop