发一个限制流量攻击的脚本,欢迎探讨
遇到攻击时,以往的防火墙只给出了连接限制数,但有些UDP洪水攻击,一个ip连接就能淹没带宽,这时候限制连接数完全无效。ros的3.3以及以后版本增加了TCP的connection rate连接速率限制,本来是用来标记数据包做流控,5.8版本以后版本又增加了udp限速。既然有了这两项,何不一试用来做防火墙。
脚本:
/ip firewall filter
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-rate=10M-4294967295 disabled=no \
protocol=tcp
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-rate=10M-4294967295 disabled=no \
protocol=udp
add action=drop chain=input disabled=no src-address-list=black_list
解释:如果源地址进来数据无论是UDP还是TCP,小于10M正常通过,超过则进黑名单全部丢掉,注意这个10M是双向总和,根据实际需要调整。 本帖最后由 rosabc 于 2013-3-27 16:30 编辑
如果是真的UDP流量攻击,一般都能攻击到你来不及丢弃就被淹没了。
无用,鉴定完毕。因为UDP流量攻击根本不受任何防火墙规则限制,直接打到网卡,等死。 4294967295是十六进制FFFFFFFF,在ros里最大数值,当然有效。
无论是什么方式的大流量攻击均无完善方法。尽管无解,对付一般流量攻击,直接drop总比放行好的多吧。在局域网内压力测试,有效果。
楼上鉴定有点仓促 本帖最后由 9939781 于 2013-3-27 15:52 编辑
tech 发表于 2013-3-27 15:48 static/image/common/back.gif
4294967295是十六进制FFFFFFFF,在ros里最大数值,当然有效。
无论是什么方式的大流量攻击均无完善方法。尽 ...
早就受过UDP流量攻击,防火墙?那都是打酱油。真正UDP流量攻击直接网卡跑满,硬件环境过载丢包,什么办法都没有。这是UDP通讯特点,没什么神秘的。即使你用策略把UDP包丢了,看网卡实时流量,是不是流量还在上面就知道了。 机房对付大量UDP攻击,都是直接拔线,这个也确实是唯一方法。但一些有害程序,象外挂、私服登陆器,很多带有攻击性,用户并不知情,攻击量也不是太大。这里说的脚本,只是减轻,谁都知道大流量攻击无解
再是,以此方式对TCP防护呢? 另外,对付类似网吧的内网攻击,稍做修改,就很容易查出源头 对待UDP攻击 最好的方法就是把路由的LAN网卡加大例如100M内网 LAN网卡用1000M
1000M内网LAN网卡就用万兆 UDP攻击是一种消耗对方资源,也消耗你自己的资源的攻击方式,现在已经没人使用这种过时的东西了,你攻击了这个网站,其实也在消耗你的系统资源,说白了就是拼资源而已,看谁的带宽大,看谁能坚持到最后,这种攻击方式没有技术含量,引用别人的话,不要以为洪水无所不能,攻击程序在消耗对方资源的时候也在消耗你的资源.
http://baike.baidu.com/view/1825467.htm?fromId=4811360
页:
[1]