在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好?

在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好?,第1张

概述参见英文答案 > I am under DDoS. What can I do?                                    4个 在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗? 空路由我们会做类似的事情: ip route add blackhole <ip or range> 在iptables中: /sbin 参见英文答案 > I am under DDoS. What can I do?4个
在DDOS攻击期间,如果我们要查找要阻止的IP,我们会看到使用空路由而不是iptables更好的性能吗?

空路由我们会做类似的事情:

ip route add blackhole <ip or range>

在iptables中:

/sbin/iptables -A input -s <ip or range> -j DR

没有区别吗?我怀疑路线会更好,但我不确定.

解决方法 假设您基于源地址而不是目标进行阻塞,那么在raw / PREROUTING中执行DROP将会很好地工作,因为您可以在做出任何路由决策之前丢弃数据包.

但请记住,iptables规则本质上是一个链接列表,为了在阻止大量地址时获得最佳性能,您应该使用ipset.

另一方面,如果按目的地阻塞,则在路由表的阻塞与iptables之间可能没有什么区别,如果源IP是欺骗的,则在这种情况下,黑洞条目可能消耗路由缓存资源;在这种情况下,raw / PREROUTING仍然是优选的.

总结

以上是内存溢出为你收集整理的在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好?全部内容,希望文章能够帮你解决在Linux中,使用路由黑洞获取IP结果的性能是否比放入iptables更好?所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/1039120.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-24
下一篇 2022-05-24

发表评论

登录后才能评论

评论列表(0条)

保存