Preciso REJEITAR o primeiro pacote UDP de entrada por srcip

2

Atualmente estou sob ataque de pacotes udp falsificados. Cada spoofed ip tentando enviar apenas 1 pacote de udp em 30 segundos. Mas há toneladas de ip.

Preciso largar o primeiro pacote. Mas se o mesmo srcip em 30 segundos enviar outro pacote, eu quero aceitá-lo.

-A INPUT -d <myip> -p udp --dport <myport> -m hashlimit --hashlimit-upto 1/min --hashlimit-mode srcip --hashlimit-name mmmm -j DROP

Tentei isso, mas não ajudou ..

    
por wotan 01.09.2015 / 13:25

1 resposta

1

Como mencionado. Provavelmente, "recente" é sua melhor aposta. Ajuste conforme necessário:

iptables -N SPOOF
iptables -A SPOOF -m recent --rcheck --seconds 30 -j ACCEPT
iptables -A SPOOF -m recent --set -j DROP


iptables -A INPUT -p udp --dport <myport> -j SPOOF

Isso cria uma nova tabela "SPOOF" e envia os pacotes UDP de entrada correspondentes correspondentes a ela. Se esse host enviou um pacote nos últimos 30 segundos, ele será aceito, caso contrário, deixe-o cair.

    
por 01.09.2015 / 14:11

Tags