在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好?

前端之家收集整理的这篇文章主要介绍了在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
参见英文答案 > I am under DDoS. What can I do?4个
在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗?

空路由我们会做类似的事情:

ip route add blackhole <ip or range>

在iptables中:

/sbin/iptables -A INPUT -s <ip or range> -j DR

没有区别吗?我怀疑路线会更好,但我不确定.

解决方法

假设您基于源地址而不是目标进行阻塞,那么在raw / PREROUTING中执行DROP将会很好地工作,因为您可以在做出任何路由决策之前丢弃数据包.

但请记住,iptables规则本质上是一个链接列表,为了在阻止大量地址时获得最佳性能,您应该使用ipset.

另一方面,如果按目的地阻塞,则在路由表的阻塞与iptables之间可能没有什么区别,如果源IP是欺骗的,则在这种情况下,黑洞条目可能消耗路由缓存资源;在这种情况下,raw / PREROUTING仍然是优选的.

猜你在找的Linux相关文章