如何识别基于UDP的DoS

Question

我正在运行27015 UDP端口上的反攻击游戏服务器。我正在使用Amazon来托管游戏服务器。

我只在安全组中添加了我朋友的IP，所以其他的通信总是被阻塞。

我的敌人在使用IP欺骗手段。他在骗取我朋友的IP，还发了UDP洪水。

他从3-4个IP里发过来的。

我目前正在做的是，我在TCPdump中捕获in并手动阻塞。

有没有可能让那些IP使用shell脚本或者其他什么的，这样我就可以阻止那个IP了。

谢谢!

Answer 1

我找到了一个阻止指定长度数据包的非常相似的例子。在这里，分组长度为401到65535。

iptables -A PREROUTING -p udp --destination-port 27015 -m length --length 401:65535 -j DROP

编辑：

如果您只想获取IP，您可以运行以下命令，以便在出现IP地址时在终端中打印IP地址：

sudo tcpdump -n -i wlp2s0 dst port 27015 -l 2>&1 | grep length | awk -F'[ .]' -v OFS="." '$NF >= 401 { print $4,$5,$6,$7 }'

此示例用于无线接口wlp2s0，因此将其更改为正确的设备，如eth0或其他网络设备。

您可以将此行用作脚本，但在"for循环“或之后的额外管道中，它的行为似乎不太好。