发一个限制流量攻击的脚本，欢迎探讨

tech

遇到攻击时，以往的防火墙只给出了连接限制数，但有些UDP洪水攻击，一个ip连接就能淹没带宽，这时候限制连接数完全无效。
ros的3.3以及以后版本增加了TCP的connection rate连接速率限制，本来是用来标记数据包做流控，5.8版本以后版本又增加了udp限速。既然有了这两项，何不一试用来做防火墙。
脚本：

/ip firewall filter
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=1d chain=input connection-rate=10M-4294967295 disabled=no \
    protocol=tcp
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=1d chain=input connection-rate=10M-4294967295 disabled=no \
    protocol=udp
add action=drop chain=input disabled=no src-address-list=black_list

解释：如果源地址进来数据无论是UDP还是TCP，小于10M正常通过，超过则进黑名单全部丢掉，注意这个10M是双向总和，根据实际需要调整。

rosabc

如果是真的UDP流量攻击，一般都能攻击到你来不及丢弃就被淹没了。

9939781

无用，鉴定完毕。因为UDP流量攻击根本不受任何防火墙规则限制，直接打到网卡，等死。

tech

4294967295是十六进制FFFFFFFF，在ros里最大数值，当然有效。
无论是什么方式的大流量攻击均无完善方法。尽管无解，对付一般流量攻击，直接drop总比放行好的多吧。在局域网内压力测试，有效果。
楼上鉴定有点仓促

9939781

tech 发表于 2013-3-27 15:48

                               
登录/注册后可看大图

4294967295是十六进制FFFFFFFF，在ros里最大数值，当然有效。
无论是什么方式的大流量攻击均无完善方法。尽 ...

早就受过UDP流量攻击，防火墙？那都是打酱油。真正UDP流量攻击直接网卡跑满，硬件环境过载丢包，什么办法都没有。这是UDP通讯特点，没什么神秘的。即使你用策略把UDP包丢了，看网卡实时流量，是不是流量还在上面就知道了。

tech

机房对付大量UDP攻击，都是直接拔线，这个也确实是唯一方法。但一些有害程序，象外挂、私服登陆器，很多带有攻击性，用户并不知情，攻击量也不是太大。这里说的脚本，只是减轻，谁都知道大流量攻击无解
再是，以此方式对TCP防护呢？

tech

另外，对付类似网吧的内网攻击，稍做修改，就很容易查出源头

rhgh

对待UDP攻击 最好的方法就是把路由的LAN网卡加大  例如100M内网 LAN网卡用1000M   
1000M内网  LAN网卡就用万兆

conanli0727

UDP攻击是一种消耗对方资源，也消耗你自己的资源的攻击方式，现在已经没人使用这种过时的东西了，你攻击了这个网站，其实也在消耗你的系统资源，说白了就是拼资源而已，看谁的带宽大，看谁能坚持到最后，这种攻击方式没有技术含量，引用别人的话，不要以为洪水无所不能，攻击程序在消耗对方资源的时候也在消耗你的资源.
http://baike.baidu.com/view/1825467.htm?fromId=4811360