编写限制DoS攻击的新规则

Question

最近，我经历了一次DoS攻击，所以我决定写一条新规则来阻止攻击，但是我的知识还不够，

所以任何提示或帮助都将不胜感激。

攻击日志附件-ed下面，我的当前表也是附加的。

我的规则：

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# Allow LoopBack
-A INPUT -i lo -j ACCEPT

# Allow New Connection Only On Ports ( 22 - 3724 - 3799 ) And Maximum Connection Limited At 15
-A INPUT -i eth0 -p tcp -m multiport --dports 22,3724,3799 -m state --state NEW,ESTABLISHED -m connlimit --connlimit-upto 15 --connlimit-mask 32 --connlimit-saddr -j ACCEPT

# Allow Ping ( Only 2x Ping Per a Sec )
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec --limit-burst 2 -j ACCEPT

# Allow LoopBack
-A OUTPUT -o lo -j ACCEPT

# Allow Established Connection
-A OUTPUT -o eth0 -p tcp -m multiport --sports 22,3724,3799 -m state --state ESTABLISHED -j ACCEPT

# Allow Ping ( Only 2x Ping Per a Sec )
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 0 -m limit --limit 2/sec --limit-burst 2 -j ACCEPT
COMMIT

攻击日志：http://paste.ubuntu.com/12019024/

另外，如果我的规则需要重写/编辑，告诉我

谢谢

Answer 1

根据您的日志，SYN数据包来自您的回送接口，您的eth0正在发送SYN，以响应许多随机的公共IP。正如@Oliver在上面的评论中指出的那样，您的服务器可能会受到破坏。我将从网络中删除服务器，并研究如何纠正受损的服务器。

http://www.ducea.com/2006/07/17/how-to-restore-a-hacked-linux-server

我如何知道我的Linux服务器是否遭到黑客攻击？

https://major.io/2011/03/09/strategies-for-detecting-a-compromised-linux-server/