IPTables 丢弃带有 IP Header 标识的 UDP 数据包
IPTables drop UDP packets with IP Header Identification
我们目前收到针对我们的一个应用程序的 30Mbps 欺骗性 UDP 洪水,导致高 CPU 使用率,我们有一个专用防火墙 运行 linux 的基本版本IP 表。
查看流量日志,所有欺骗性 UDP 流量都有一个 header 标识号 31336。是否可以通过 IPTables 丢弃匹配该号码的数据包?
这是一张包含显示标识号的 wireshark 捕获的图片:
UDP 数据包中的数据也在 90 到 800 字节之间,将合法流量复制到我们的应用程序中。 ident 号码是我能看到的匹配不良流量的唯一方法。
我会尝试使用 iptables' u32 extension.
这不是我亲自测试的,但规则应该是这样的:
iptables -A PREROUTING -p udp -m u32 --u32 "2&0xFFFF=0x7a68" -j DROP
我们目前收到针对我们的一个应用程序的 30Mbps 欺骗性 UDP 洪水,导致高 CPU 使用率,我们有一个专用防火墙 运行 linux 的基本版本IP 表。
查看流量日志,所有欺骗性 UDP 流量都有一个 header 标识号 31336。是否可以通过 IPTables 丢弃匹配该号码的数据包?
这是一张包含显示标识号的 wireshark 捕获的图片:
UDP 数据包中的数据也在 90 到 800 字节之间,将合法流量复制到我们的应用程序中。 ident 号码是我能看到的匹配不良流量的唯一方法。
我会尝试使用 iptables' u32 extension.
这不是我亲自测试的,但规则应该是这样的:
iptables -A PREROUTING -p udp -m u32 --u32 "2&0xFFFF=0x7a68" -j DROP