亲爱的读者。

作为简短的警告，关于tarpit规则。

Mikrotik后面有个/24。雷竞技网站
阻止攻击。我监控一些不能从外部连接的端口，比如5061,445等等。如果一个源ip连续3次连接这些端口，我将它们放入一个定时地址列表中，然后将所有TCP流量发送到任意端口，从源列表发送到tarpit规则。

昨天我开始反复收到来自各种来源的2.5 Gbit/s TCP-SYN和UDP流量的DDOSed，完全饱和了我的链路。

我注意到我的球场规则吸引了最多的流量。我将此更改为拒绝-网络不可达。
过了一会儿，客流量开始下降。

我认为这里发生的情况是，在tarpit被用于某个发送者IP后，由于所有端口都接受TCP连接，这使得我范围内的所有IP地址都成为进一步攻击的有吸引力的目标，这些攻击随后被分发到更多发送TCP- syn和UDP的僵尸网络实例中，以> 2.5Gb/s流量结束。

所以要小心。Tarpit可能适得其反，增加流量，而不是减慢攻击者。

benoit -

这就是为什么我使用了一个限制tarpit和开始减少包装，而不是如果点击数量变得很高。(从来没有遇到过问题，所以不确定这是否有效)

viewtopic.php吗?t = 178496

DDoS对应答不感兴趣，它只是把数据包推了进去。

在RAW中删除数据包或与您的连接提供商联系以减轻影响。这可能是你的供应商正在监视你发回的数据包，并为你减轻DDos攻击。但我不知道谁能做到这一点。另外，另一端的提供者也可以监视这个应答包并调节这个发射机。
另一方是许多不同的供应商，所以情况不太可能是这样。