在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好？

概述参见英文答案 > I am under DDoS. What can I do?                                    4个 在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗？ 空路由我们会做类似的事情： ip route add blackhole <ip or range> 在iptables中： /sbin 参见英文答案 > I am under DDoS. What can I do?4个
在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗？

空路由我们会做类似的事情：

ip route add blackhole <ip or range>

在iptables中：

/sbin/iptables -A input -s <ip or range> -j DR

没有区别吗？我怀疑路线会更好,但我不确定.

解决方法 假设您基于源地址而不是目标进行阻塞,那么在raw / PREROUTING中执行DROP将会很好地工作,因为您可以在做出任何路由决策之前丢弃数据包.

但请记住,iptables规则本质上是一个链接列表,为了在阻止大量地址时获得最佳性能,您应该使用ipset.

另一方面,如果按目的地阻塞,则在路由表的阻塞与iptables之间可能没有什么区别,如果源IP是欺骗的,则在这种情况下,黑洞条目可能消耗路由缓存资源;在这种情况下,raw / PREROUTING仍然是优选的.

总结

以上是内存溢出为你收集整理的在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好？全部内容，希望文章能够帮你解决在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。