Eu gostaria de abandonar o tráfego que é "antigo" e "visto antes", isto é, ataque de repetição. Por exemplo, se alguém usa tcpdump / wireshark para capturar um bloco de dados de 5min e reproduzi-lo em loop. O tráfego é válido na medida em que sua carga está em conformidade com o que o servidor espera e o destino é uma porta de serviço válida. Mas se for antigo e ver antes eu quero soltá-lo antes que ele atinja o servidor.
Isso pode ser feito com o iptables / bpf?
Usando a assinatura de pacotes ou o campo de carimbo de data / hora talvez ou marcando o pacote e armazenando em conntrack por algum tempo que esteja marcado, etc ...
Antes de descer o espaço do usuário ou o caminho do módulo do kernel, eu queria verificar se isso pode ser feito agora.