在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好
发布时间:2020-12-13 16:48:13 所属栏目:Linux 来源:网络整理
导读:参见英文答案 I am under DDoS. What can I do?4个 在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗? 空路由我们会做类似的事情: ip route add blackhole ip or range 在iptables中: /sbin/iptables -A INPUT -
参见英文答案 >
I am under DDoS. What can I do?4个
在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗? 空路由我们会做类似的事情: ip route add blackhole <ip or range> 在iptables中: /sbin/iptables -A INPUT -s <ip or range> -j DR 没有区别吗?我怀疑路线会更好,但我不确定. 解决方法
假设您基于源地址而不是目标进行阻塞,那么在raw / PREROUTING中执行DROP将会很好地工作,因为您可以在做出任何路由决策之前丢弃数据包.
但请记住,iptables规则本质上是一个链接列表,为了在阻止大量地址时获得最佳性能,您应该使用ipset. 另一方面,如果按目的地阻塞,则在路由表的阻塞与iptables之间可能没有什么区别,如果源IP是欺骗的,则在这种情况下,黑洞条目可能消耗路由缓存资源;在这种情况下,raw / PREROUTING仍然是优选的. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |