[问题求助][求助]关于Linux下遭受UDP攻击问题 [复制链接]

环境：100台终端计算机，网关是Red.hat9.0 .With iptables Firewall Li.nux网关公网ip=a.b.c.d 内网ip=192.168.0.1           鲜花
攻击现象：Linux网关系统性能急剧下降，甚至影响正常操作，系统CPU占用高达99%以上，用户进程.中softirqd进程占用最大，Linux.网关通过tcpdump抓公网网卡eth0发现每秒钟平均.250.0个udp数据包的接收，而且目标ip都是我的网关公网ip，源地址极其分散，没有规律性，.明显的DDOS。通过ifconfig eth0观察统计发现平均每秒钟20-30M接收流量，平均一.分钟1.5G的流量进入Linux网关，在客户端ping Linux网关内口ip，一切.正常，就是感觉相应慢，没有大的延时，在客户端ping公网某地址61.177.7.1，没有延时，几乎都是<1ms,但是丢包率平均在50%-70.%，客户端只能用缓慢的速度看网页和上QQ，一些实时性要求高的Internet活动无法进行。投资

Linux网关防火墙配置：
/home/ipf.w(我的防火墙脚本)，内容如下：.
/sbin/iptables -t .filt.er -F域名
/sbin/ip.tables -t nat -F           鲜花
/sbin/iptables -t nat .-A POSTROUTING -o eht0 -j SNAT --to a.b.c..d(        游戏          )
/sbin/iptab.les -P INPUT DROP.教育
/.sbin/iptables -A I.NPUT -p udp --sport 53 -j ACCEPT.
#OUTPUT CHAIN 's Default .Policy is A.CCEPT.
/sbin/ipt.ables -A OUTPUT -p udp. -j DROP投资
#FORWARD CHAIN 's Def.ault Policy is ACCEP.T域名
/s.bin/ipta.bles -A FORWARD -p udp --dport 53 -j ACCEPT.
/sbin/iptables -A FORWA.RD -p udp --sport. 53 -j ACCEPT.
/sbin/i.ptables -A FORWAR.D -p udp -j DROP学习

/etc/rc.d/rc.loca.l 内容如下            杀毒
echo 1 > /proc/s.ys/net./ipv4/ip_forward学习
/home/ipfw

ech0 公.网网卡 eth1 内网网卡    健康

这个配置在之前一直工作正常.，直到发生UDP攻击后就.感觉防御不够了    外汇

我的尝试：1.我曾将上述.的规则中的所有的DROP行为换位REJECT，效果似乎更加不好，所以我又该回.来了;    健康
               2.我曾经将原来.的网关更换成一台瑞捷硬件安全路由器(￥6000价格)，路由器一.接上公网立刻瘫痪；            杀毒
      
我的分析：UDP大量进入，一方面对我的带宽(100M光纤接入)造成占用，另外一方面系统要短时间内处理大量的UDP.数据包，处理不过来，性能大幅打下降，直至.丢包严重而无法正常上网。所以我在想，如果能够让.Li.nux OS不处理UDP包就好了，反正我除了需要转发udp 53的DNS查询之外，没有任何地方要用到udp服务。.

我的疑问：各位高手朋友，能够指导小弟如何能够让Linux完全忽略udp.的直接进入，但是还要保证udp能够做转发，或者.哪位Linux强人有别的解决办法，如果要我用硬件防火墙，这个我也想过，如果没有特殊针.对这种攻击的防火墙.肯定也撑不了多久，数据量实在太大了，而目前小弟希望能够讨论在现有Linux网关上能够想到的解决办法。对于提供支持和帮助的高手朋友.们，提前深深表示感谢！教育

tcpdump看近来的udp有什么特征，例如针对单独端口等，iptables干掉即可。

你试试在nat表的PREROUTING链中将UDP包DROP掉。

iptables -t nat -A PREROUTING -p udp -i eth1 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i eth0 --sport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -j DROP

这几行放置在PREROUTING表的最上面

非常感谢您的回复，我已经在环境中测试了，似乎效果还是不行！
您问我的udp特征，这个很抱歉我没有写清楚，udp目标端口没有任何规律性，很分散

关于您的第二条回复，我在想，您用PREROUTING DROP了UDP，问题是，我的感觉关键能不能让系统在到达一个触发条件的时候不处理udp包，至少不能让Linux网关自己都瘫痪。

您再帮我看看还有什么别的办法吗？
或者有什么有帮助的文章给偶看看！

其实upd出去你要处理的，进来你关掉就好了！

谢谢liubinbj 的回复，很感谢！
看来我真的要等攻击停止了：（
因为后来我INPUT全部DROP，也就是我 /sbin/iptables -P INPUT DROP
默认规则都改成DROP了，INPUT就没有别的规则了！
可是还是没有什么改善！

不过还是要感谢大家的回复和帮助，还有broadsowrd619 ，也谢谢你！

对于带宽饱和攻击，任何办法都没有。。。
除非可以让 ISP 的上层路由在对你做带宽限速前，将攻击过滤掉一部分

让ISP把udp包引向黑洞

我是电信申请的100M光纤接入，ISP有义务帮我这么做吗？
就各位前辈的经验，我该怎么和他们申请？因为我联系电信的客户经理，他说只能给我换ip，别的不能做！
虽然换了ip，但是攻击方可以在12小时之内重新瞄准我的新ip！

谢谢你，platinum ！