web-dev-qa-db-ja.com

パケットフラッディング、それを処理する方法はありますか?

私のマシンは毎秒数千のパケットで溢れています。それらは多くの帯域幅(1gビットから60mbps)を消費しませんが、ネットワークカードの割り込みの処理を担当するCPUを消費することにより、システムに大きなダメージを与えます。 ksoftirqdは100%になり、マシンはほとんどアクセスできなくなります。どうすればこの種の攻撃に対処できますか?膨大な数のランダムパケットをスローしますか?サーバー割り込みの処理を微調整したり、他のCPUに分散したりする方法はありますか?

私のネットワークカードはNAPIを使用しており、Linuxカーネルは2.6.31.5です。

2
rfire

アップストリームプロバイダーに連絡して、このDDOSからのパケットが届かないようにブロック、フィルタリング、またはその他の方法で阻止する必要があります。彼らがあなたのサーバーに到着するまでにあなたができることは本当に多くありません。

Iptablesを使用して送信元IPアドレスをブロックすることはできますが、iptablesが実際にパケットを調べてドロップすることを決定するまでに、(計算上の)損傷がすでに発生している可能性があります。

編集:

あなたのコメントは私には意味がありません。大量のパケットまたは特別に細工されたパケット(またはその両方)が原因でDDOSが発生し、割り込みの切り替えが原因で計算のオーバーヘッドが多すぎます。それらは1つまたはいくつかのソースから来ていますか?アップストリームプロバイダーはそのソースからパケットをドロップしましたか?利益!彼らがあなたのマシンに到達しない場合、そもそも問題を引き起こすことは決してありません。パケットがすでに到着した後、これが発生するのを防ぐためにホストで実行できる魔法はありません。パケットがマシンに到着する前にパケットをドロップしておく必要があります。サービスプロバイダーまたはホスティング会社に連絡してください。

7
user62491