История изменений
Исправление kam, (текущая версия) :
Чаще всего атакуют спуфом через hping, и если атакующий дурак, то поможет строчка
(ковычки поправить)
iptables -t raw -A PREROUTING -m u32 --u32 «6&0xFF=0x6 && 32&0xFFFF=0x0200» -j DROP
она забанит по окну 512(стандартное при атаках через hping).
забанит в таблице raw, т.е. не доходя до conntrack
также чаще всего спуф идут с одной машины, имеет смысл банить по TTL
но для этого нужно хотябы глянуть дамп трафика(tcpdump -vv)
hashlimit использовать не рекомендую, он забьется и положит систему:( также может быть спасет выключение сервиса который атакуют, и выгрузка модулей коннтрака.
но вы должны понимать, если у вас линк в инет 1гбит, то если вам вольют больше 1млн пакетов в секунду, вы ляжете все ровно, и вас не спасёт ничего:)
Исправление kam, :
Чаще всего атакуют спуфом через hping, и если атакующий дурак, то поможет строчка
iptables -t raw -A PREROUTING -m u32 --u32 «6&0xFF=0x6 && 32&0xFFFF=0x0200» -j DROP
она забанит по окну 512(стандартное при атаках через hping).
забанит в таблице raw, т.е. не доходя до conntrack
также чаще всего спуф идут с одной машины, имеет смысл банить по TTL
но для этого нужно хотябы глянуть дамп трафика(tcpdump -vv)
hashlimit использовать не рекомендую, он забьется и положит систему:( также может быть спасет выключение сервиса который атакуют, и выгрузка модулей коннтрака.
но вы должны понимать, если у вас линк в инет 1гбит, то если вам вольют больше 1млн пакетов в секунду, вы ляжете все ровно, и вас не спасёт ничего:)
Исходная версия kam, :
Чаще всего атакуют спуфом через hping, и если атакующий дурак, то поможет строчка
iptables -t raw -A PREROUTING -m u32 --u32 «6&0xFF=0x6 && 32&0xFFFF=0x0200» -j DROP
она забанит по окну 512(стандартное при атаках через hping).
забанит в таблице raw, т.е. не доходя до conntrack
также чаще всего спуф идут с одной машины, имеет смысл банить по TTL
но для этого нужно хотябы глянуть дамп трафика(tcpdump -vv)