阻塞SSDP洪水

Question

我已经托管了很长时间的游戏服务器，我不断更新我的iptables防火墙，以阻止大多数攻击。我的一个游戏服务器端口被"SSDP“请求淹没，我的游戏服务器用”断开“数据包回复。

这里是如何建立流来自源端口1900，而目的地是我的游戏服务器端口，

http://paste.ubuntu.com/8099734/

我有下面的iptables配置，它应该阻止传出的“断开”数据包，但是它不再工作了，我不知道为什么。

http://paste.ubuntu.com/8099779/

我暂时阻止了来自UDP源代码端口1900的输入，但这还不是一个好的解决方案，因为我的游戏服务器容易受到许多其他数据包的攻击，所以必须阻止传出的“断开”数据包。

我不确定是否需要-m多端口匹配来阻止这种情况？

Answer 1

我注意到，您收到的是一个回复包，而不是请求。

因此，这很可能是一种放大类型的攻击，它们在网络上向启用SSDP的设备发送一个小请求，但是您的IP被欺骗为发起者。所以当所有这些设备发送他们的回复时，你就会得到它们。

作为一个附加的副作用，您的服务不知道他们在说什么，也别无选择，只能“断开”它们(游戏服务器显然是通过发送文本断开来实现的)。

我不明白你为什么对这件事有针对性的回答。我尝试使用传入的包，如下所示：

iptables -I输入-p udp --dport 16000:29000 -m字符串--到75 -algo string‘-p/1.1200OK’-j下拉列表