停止SYN DDoS攻击

Question

我的一台服务器正遭受持续的SYN DDoS攻击。我已经决定设置fail2ban，但据我所知，这只会处理ssh登录攻击。我怎样才能阻止这些SYN DDoS攻击。我似乎找不到任何关于堆栈溢出或谷歌的特别明确的建议。一个联系也就足够了。

谢谢。

Answer 1

这个问题并没有太多的上游解决方案--除非你能识别出流量的一些显著特征(比如说，设置了邪恶的比特)，否则你的上游流将无法在流量到达你之前过滤掉它。

好消息是，只要启用了SYN曲奇，SYN洪流就不是一个特别有效的DDoS，唯一的风险是它会填满您的管道。因此，如果有必要的话，翻转这个位(echo 1 >/proc/sys/net/ipv4/tcp_syncookies)，并注意您的带宽使用情况。