ddos

так же заметил после атаки много процессов

   50 root      20   0     0    0    0 R   45  0.0  24:12.11 events/11
   39 root      20   0     0    0    0 S   44  0.0  37:47.76 events/0
   46 root      20   0     0    0    0 S   40  0.0  28:57.72 events/7

ситуация печальна. Даже если и будете блокировать, то трафик приходит на интерфейс и соответственно обрабатывается системой, а это не гуд. Просите провайдера блокировать на сетевом оборудование.

да пускай заходит,канал не забивают, мощностей хватает пережевать 200тыс пакетов, нужно правило iptables только добавить правельное которое будет дропать эти пакеты. А что касательно процессов events?

Можно попробовать тарпит, чтоб им тоже не сладко было. Может сможешь снизить себе нагрузку.

добавил правило -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG, но пакеты не идут через него

реж пакеты по
win=0,len=0
через u32 в таблице raw
и будет тебе счастье

по стрингу тоесть?

есть критерий u32, он более низкоуровневый чем string(и побыстрее немного) - http://www.stearns.org/doc/iptables-u32.current.html

он более низкоуровневый чем string(и побыстрее немного)

НАмного:)

ну если матчить больше 4 байт, тут еще вопрос. А так да - для коротких последовательностей даже вложенные цепочки с u32 уделают один критерий string как за нефиг

+1

дропать такое нужно именно в raw, до их попадания в conntrack!

это понятно, но как получить правило win=0,len=0 тестировали это

iptables -t raw -A PREROUTING -i eth0 -m u32 --u32 "32&0xFFFF=0x0000" -j DROP

но как получить правило win=0,len=0

Прочитать мануал по iptables, очевидно.

Но учитывая твое нежелание учиться и явную коммерческую составляющую сабжевого вопроса (DDoS игрового хостинга) — тебе прямая дорога в раздел Job.