我的机器每秒钟被数以千计的数据包淹没。 他们没有吃太多的带宽(1Gbit中60mbps),但是通过使用一个负责处理网卡中断的CPU来损坏系统。 ksoftirqd达到100%,机器变得几乎不可访问。 我该如何处理这种攻击 – 投掷大量的随机数据包? 有什么办法来调整处理服务器中断或分布在其他CPU?
我的网卡使用NAPI,linux内核是2.6.31.5
您需要联系您的上游提供商,并阻止,过滤或以其他方式阻止来自此DDOS的数据包到达您。 当你到达你的服务器时,你确实没有太多的工作要做。
您可以尝试使用iptables来阻止源IP地址,但可能(计算)损害已经在iptables实际查看数据包并决定将其丢弃时完成。
编辑:
你的评论对我没有意义。 由于中断切换,导致大量或特制数据包(或两者)导致的计算开销过大,从而导致DDOS。 他们来自一个或几个来源? 让您的上游提供商丢弃该来源的数据包? 利润! 如果他们永远不能到达你的机器 – 他们永远不会造成这个问题。 一旦数据包已经到达,主机上没有什么魔法可以防止这种情况发生。 您需要在数据包到达您的机器之前丢弃数据包。 请联系您的服务提供商或托pipe公司。