LINUX禁用UDP防止DDOS攻击之UDP_FRAG
从1月17日开始,网站一直被人CC攻击,具体什么原因导致别人攻击,不清楚,有时候,在这个互联网年代,可能因为你拒绝某人加群了,可能你拒绝了解答某人的问题,人家心里不爽,就来搞搞你。不过这些,都已经不再重要的,重要的是,如何是防护保证网站的正常运行。对于TCP我们做了策略,所以,从17号到现在,网站都正常访问。而在29日,服务器突然受到了G级别的UDP FRAG攻击,因为在默认的情况下,IPTABLES是没有对于UDP进行配置了。所以导致攻击着直接按照G流量方式攻击UDP 80端口,导致其中一台UCLOUD的机器,瞬间进去了黑洞。通过工单,也很快解封了IP。让我奇怪的是,默认情况下UCLOUD的云防火墙,在没有配置允许,拒绝情况下,居然是默认允许的!我记得阿里云的,默认是禁止的。
既然知道了这个问题,解决的办法有两个,一个就是在云防火墙配置禁止UDP任何端口入站,直接可以防止UDP攻击。而对于其它没有云防火墙的VPS等,也可以通过下面的方式来封杀UDP端口。默认运行DNS用的的53即可。
-A INPUT -s 8.8.8.8 -p UDP --sport=53 -j ACCEPT
-A INPUT -s 8.8.4.4 -p UDP --sport=53 -j ACCEPT
-A INPUT -p UDP -j DROP
-A OUTPUT -p UDP -d 8.8.8.8 --dport 53 -j ACCEPT
-A OUTPUT -p UDP -d 8.8.4.4 --dport 53 -j ACCEPT
-A OUTPUT -p UDP -j DROP
在这里,我们把入站出站UDP都禁止了,也防止了服务器被人上传木马对外发送UDP攻击,配置完保存重启下IPTABLES即可。
- 上一篇:利用批处理BAT更改RDP端口 [2021-1-31]
- 下一篇:DDOS 的常见攻击方式 [2021-1-31]