IPTablesDDoS攻撃に対する予防措置として、私のシステムには次の規則があります。
-A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 255.0.0.0/8 -j DROP
-A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 0.0.0.0/8 -j DROP
個人を制限するかどうかは、IP Address GroupインターネットのプライベートIPアドレス範囲で発生するパケットが実際になりすましたIPアドレスであると仮定します。また、上記のサブネットに対応するIPアドレス範囲を計算する方法は?
答え1
以下を含むすべてのパケットに-A INPUT -sルールを追加します。源泉サブネットを指定するだけです。
したがって、あなたの例では、送信元IPアドレスがで始まるすべてのパケット255とで始まるすべてのパケット(0たとえば、255.1.2.3.4または)を記録して削除します。0.56.78.90
ここでのアイデアは、このアドレスで始まるパケットが決して存在しないため、表示された場合はなりすましする必要があるということです。
実際、あなたがリストしたアドレスに加えて、このリストに追加できる無効なまたは予約されたIPアドレスがたくさんあります。
そこに多くのリソースがありますサブネットそして、役に立つオンラインサブネット電卓がたくさんあります。あなたの場合、/8IPアドレスの最初の8ビットはネットワークを指定し、残りの24ビットはそのサブネット内のホストを指定します。どちらの例でも、最初のオクテット(8ビット)はネットワークであり、残りの3つのオクテットは任意の値にすることができます。だからあなたはからまで255.0.0.0/8することができ、あなたはからまですることができます。255.0.0.0255.255.255.2550.0.0.0/80.0.0.00.255.255.255