Como você bloqueia automaticamente todo o tráfego de entrada criando regras personalizadas para cada conexão (em tempo real) usando o iptables?
Para esclarecer - a situação é que meu linux box está sendo DDOSed via porta 80 e eu quero definir o iptables para capturar e bloquear todos os bots de ataque. Depois de algumas horas (e espero que todos os bots tenham acabado), eu levanto a política e deixo o tráfego legítimo do www entrar.
EDIT: Ou se você pudesse sugerir qualquer outra forma de me proteger contra o (provavelmente) flood SYN distribuído.
Isso não é à prova de balas, mas deve começar. Você pode colocar isso em um script e executá-lo sob demanda
iptables -N SYN_FLOOD
iptables -A SYN_FLOOD -m limit --limit 5/second --limit-burst 50 -j RETURN
iptables -A SYN_FLOOD -j LOG --log-prefix "SYN flood: "
iptables -A SYN_FLOOD -j DROP
Para desligar, basta executar:
iptables -D SYN_FLOOD