Desativar respostas inacessíveis do ICMP

Question

Desativar respostas inacessíveis do ICMP

#1 resposta do (6 votos)
#2 resposta do (4 votos)

2

Estou usando um sistema operacional Debian de 6 - 64 bits e meu servidor é inundado pelo protocolo udp de tempos em tempos. Basicamente, hospedo servidores de jogos e meu firewall está configurado para limitar os pacotes em portas permitidas, mas às vezes a taxa por IP é baixa, mas o número de IPs é maior, então meu servidor envia respostas icmp inatingíveis para o IP atacante que não faz benefício, mas engasga / satura o porto ainda mais.

Estou procurando como desabilitar esse recurso. Na verdade, as portas que são atacadas são permitidas através do firewall e não posso desativá-las, embora isso resolva o problema. Eu executo um número de servidores em alguns intervalos de portas, então não posso continuar aceitando essas portas uma por uma e decidi permitir o intervalo total de portas que eu poderia exigir.

Estou vendo alguma habilidade do kernel para parar isso?

kernel networking

por Asad Moeen 12.07.2013 / 01:14

2 respostas

4

O destino iptables REJECT faz com que as respostas inacessíveis do ICMP sejam enviadas. Mudar seu alvo para DROP fará com que os pacotes recebidos fiquem silenciosamente em branco.

por 12.07.2013 / 01:29

Tags kernel networking

Como instalar o RDP Client Access License ou usar seu período de carência? Exportando para pdf da palavra microsoft office [closed]

score 6 · Accepted Answer

Para impedir que pacotes ICMP inacessíveis sejam enviados, você pode soltá-los usando o netfilter (iptables):

iptables -I OUTPUT -p icmp --icmp-type destination-unreachable -j DROP

Melhor prevenir que eles sejam gerados em primeiro lugar usando o alvo DROP no tráfego INPUT, ao invés de REJECT (ou nada onde a pilha de rede kernel irá criar uma resposta inacessível ao invés de netfilter)

Não acho que isso resolva seus problemas; você precisa identificar o impacto que o DDoS está tendo; é saturar a rede ou consumir recursos do sistema (CPU / memória, etc). Se é rede, então as respostas emudecer podem ajudar um pouco, mas você ainda terá os pacotes de entrada no fio.