Я пытаюсь смягчить постоянные и иногда острые DDoS-атаки SYN, направленные на порты моего веб-сервера. Я использую Ubuntu 18.04 с iptables v1.6.1.
Я уже реализовал множество настроек ядра анти-DDoS в sysctl.conf. См. Статья JavaPipe .
Однако это все равно приводит к большому количеству исходящего трафика и некоторому усилению, поскольку соединения не отслеживаются. Это варьируется от 32B / s до 512B / s по сравнению с 1-20 IP-адресами и примерно в два раза больше, чем резервное копирование - что не так много, за исключением того, что атаки происходят изо дня в день.
Поэтому я просмотрел следующие записи в таблицах IP (также показанные на Javapipe и нескольких других сайтах), к которым я добавил «-–dport 80». Но я получаю ошибки «неизвестная опция», например:
sudo iptables -t raw -A PREROUTING -p tcp -m tcp --syn -–dport 80 -j CT --notrack
iptables v1.6.1: unknown option "tcp"
sudo iptables -A INPUT -p tcp -m tcp -m conntrack -–dport 80 --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
iptables v1.6.1: unknown option "-m"
sudo iptables -A INPUT -m conntrack -–dport 80 --ctstate INVALID -j DROP
iptables v1.6.1: unknown option "conntrack"
Страница man linux для IPTables (8) сообщает:
Расширенные модули сопоставления пакетов:
tcp (с указанием syn, dport, mss): «Эти расширения загружаются, если указано« --protocol tcp »[я использую -p tcp].
conntrack (с указанием ctstate)): «этот модуль присутствует, только если iptables был скомпилирован в ядре, поддерживающем эту функцию». [nf_conntrack и xt_conntrack показывают в ls /sys/module].
Нужен ли нам в любом случае «-m tcp», так какмы используем "-p tcp"? И что из-за того, что в моем добавлении "-dport 80" что-то не так?
Буду признателен, если вы дадите мне знать, чего мне не хватает, иесли есть способ изменить или реализовать эти правила без перекомпиляции ядра, что мне не под силу. Заранее большое спасибо.