阻塞长度为4的UDP数据包

Question

我的服务器被长度为4(头为32字节)的UDP数据包淹没。

04:56:26.844797 IP 108.241.236.114.47034 > 185.5.173.249.14522: UDP, length 4
04:56:26.844831 IP 5.2.81.91.41240 > 185.5.173.249.14522: UDP, length 4
04:56:26.844866 IP 210.87.250.55.40919 > 185.5.173.249.14522: UDP, length 4
04:56:26.844900 IP 94.73.142.23.55904 > 185.5.173.249.14522: UDP, length 4
04:56:26.844940 IP 122.146.80.27.53779 > 185.5.173.249.14522: UDP, length 4
04:56:26.844970 IP 151.164.8.177.57392 > 185.5.173.249.14522: UDP, length 4
04:56:26.845003 IP 107.199.209.29.58712 > 185.5.173.249.14522: UDP, length 4
04:56:26.845042 IP 109.69.210.61.55743 > 185.5.173.249.14522: UDP, length 4
04:56:26.845075 IP 174.142.83.201.57903 > 185.5.173.249.14522: UDP, length 4
04:56:26.845112 IP 109.86.103.4.59078 > 185.5.173.249.14522: UDP, length 4
04:56:26.845143 IP 195.73.208.205.48309 > 185.5.173.249.14522: UDP, length 4
04:56:26.845179 IP 24.227.213.112.47999 > 185.5.173.249.14522: UDP, length 4
04:56:26.845232 IP 203.126.92.200.44085 > 185.5.173.249.14522: UDP, length 4
04:56:26.845266 IP 155.223.130.101.41779 > 185.5.173.249.14522: UDP, length 4
04:56:26.845280 IP 207.71.48.115.47343 > 185.5.173.249.14522: UDP, length 4
04:56:26.845297 IP 173.45.246.116.56800 > 185.5.173.249.14522: UDP, length 4
04:56:26.845324 IP 5.19.255.191.56223 > 185.5.173.249.14522: UDP, length 4
04:56:26.845359 IP 91.121.45.106.41200 > 185.5.173.249.14522: UDP, length 4
04:56:26.845393 IP 89.135.59.191.43939 > 185.5.173.249.14522: UDP, length 4
04:56:26.845423 IP 208.125.243.239.46874 > 185.5.173.249.14522: UDP, length 4
04:56:26.845457 IP 193.61.128.69.42921 > 185.5.173.249.14522: UDP, length 4
04:56:26.845494 IP 210.253.139.44.58710 > 185.5.173.249.14522: UDP, length 4
04:56:26.845533 IP 24.242.179.242.53563 > 185.5.173.249.14522: UDP, length 4
04:56:26.845561 IP 110.50.110.211.54071 > 185.5.173.249.14522: UDP, length 4
04:56:26.845581 IP 217.14.193.97.49223 > 185.5.173.249.14522: UDP, length 4
04:56:26.845628 IP 31.210.67.1.52423 > 185.5.173.249.14522: UDP, length 4
04:56:26.845644 IP 178.33.119.122.51731 > 185.5.173.249.14522: UDP, length 4

我已经有一个规则来阻止这个，但它似乎不起作用，包仍然进来。

iptables -t raw -A PREROUTING -p udp -m length --length 4 -j DROP

标题长度是32，然后是目标长度4。我只想阻止长度4。

如何有效地阻止这些攻击数据包？

Answer 1

要解决这个问题，您需要了解以下几个事实：

• IPTables长度模块根据数据包的总长度进行度量。
• UDP头的长度总是8字节。
• IP报头通常为20个字节，但可能更长。

有了这些知识，这里有一个例子，它将阻止数据有效负载小于4个字节的UDP数据包，而在这些数据包中没有IP选项：

iptables -A PREROUTING -p udp -m length --length 28:32 -j DROP

当然，您也可以使用--length 0:32，因为这些包也是无效的；您永远不能拥有一个总大小小于28个字节的合法UDP数据包。事实上，即使在28个字节时，这也是非常反常的，因为这将发送一个datagram...with no数据。

希望这能有所帮助。

Answer 2

这看起来像是分布式拒绝服务(DDoS)攻击，如果它将入站网络连接饱和到您的边缘(路由器或服务器)，那么网络内部的任何防火墙都不会修复这个问题，因为到您的链接已经饱和。

推荐的DDoS缓解方法是要求您的ISP在到达您的网络之前过滤掉这些通信量。

从长远来看，可能值得与DDoS缓解顾问协商，让您能够连接到互联网上的“洁净管”。(通常情况下，您的流量通过GRE隧道隧道到DDoS缓解中间层，后者具有处理攻击的上游连接性，并在路由到您之前过滤掉攻击流量)。