|
|
|
|
  请问,netfilter有包速率的match吗? - qxdcm [ 2006-04-26 13:43 | 296 byte(s)]
Re: 请问,netfilter有包速率的match吗? - olaputan [ 2006-05-14 16:30 | 441 byte(s)]
Re: 请问,netfilter有包速率的match吗? - liang_7902 [ 2006-05-07 11:27 | 39 byte(s)]
Re: 请问,netfilter有包速率的match吗? - imkerberos [ 2006-05-02 11:30 | 13 byte(s)]
|
|
|
|
[Original]
[Print]
[Top]
|
我的问题说具体点就是如何在某种指定的包在其达到特定速率的情况下将其完全DROP掉,例如可以在syn包的速率超过400pps时就认定是syn flood攻击将其DROP
我知道有limit匹配,但它好象并不能匹配特定包的速率.
.好想新出个fuzzy匹配但即便是完全匹配也仍然会放行1%的数据包.
先谢谢了
|
|
|
[Original]
[Print]
[Top]
|
|
[Original]
[Print]
[Top]
|
在match中加入状态检测的match 可以针对SYN FLOOD
ie --tcp-flags SYN,ACK,FIN SYN
or -m state --state NEW & -m limit --limt (ie)50/s -j DROP
另外,你指的“某种指定的包”是什么状态的包,如果仅仅针对SYN,使用-m limit &-m limit --limit-burst 应该是可以的(见iptables-tutorial-1-1-19 @ netfilter.org/ducumentatioin... )
另外还可以启用 -ulog-nlgroup 纪录log然后人工分拣出syn flood 的网段 -j DROP掉
|
|
|
[Original]
[Print]
[Top]
|
|
|
声明: 本页内容为中国Linux论坛的内容镜像,文章的版权以及其他所有的相关权利属于中国Linux论坛和相应文章的作者,如果转载,请注明文章来源及相关版权信息。