当前位置：首页 > news >正文

DDoS防御与流量优化

news 来源：原创 2025/9/19 5:51:07

在这里插入图片描述

实训背景

某在线游戏平台遭受频繁DDoS攻击，需部署Linux网关实现以下防护与优化功能：

防御SYN洪水攻击：自动识别并拦截高频SYN请求。
连接数限制：限制单个IP的最大并发连接数为100，防止资源耗尽。
流量优先级保障：优先处理游戏流量（UDP 5000-6000端口），确保低延迟。
攻击流量审计：记录所有异常连接尝试，便于后续分析。

环境准备

硬件/软件要求

四台虚拟机：
1. 网关服务器：双网卡（eth0: NAT模式模拟公网，eth1: 内部网络 10.1.1.1）
2. 游戏服务器：单网卡（内部网络 10.1.1.100，监听UDP 5000-6000）
3. 正常用户客户端：单网卡（内部网络 10.1.1.50）
4. 攻击模拟机：单网卡（NAT模式模拟公网，安装hping3）
操作系统：CentOS 8/Ubuntu 22.04
工具：iptables, tc, hping3, tshark, conntrack-tools

网络拓扑

公网攻击流量 (eth0:NAT)  ↓  
网关服务器 (eth1:10.1.1.1)  ↓  
内部网络 (10.1.1.0/24)  └── 游戏服务器 (10.1.1.100:5000-6000)

实训步骤

任务1：防御SYN洪水攻击

目标：启用SYN Cookie并限制SYN包速率。

启用SYN Cookie

echo 1 > /proc/sys/net/ipv4/tcp_syncookies  
# 永久生效  
sysctl -w net.ipv4.tcp_syncookies=1

限制SYN包速率（每秒最多50个）

iptables -A INPUT -p tcp --syn -m limit --limit 50/s --limit-burst 100 -j ACCEPT  
iptables -A INPUT -p tcp --syn -j DROP

验证：

在攻击模拟机执行：

hping3 -S -p 80 --flood 网关公网IP

在网关用 netstat -ant | grep SYN_RECV | wc -l 观察半连接数是否稳定。

任务2：限制单IP并发连接数

目标：防止单个IP占用过多资源。

限制TCP连接数

iptables -A INPUT -p tcp -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT

限制UDP“连接”（模拟会话）

iptables -A INPUT -p udp -m state --state NEW -m recent --set --name UDPFLOOD  
iptables -A INPUT -p udp -m state --state NEW -m recent --update --seconds 60 --hitcount 200 --name UDPFLOOD -j DROP

验证：

在正常客户端使用 ab -n 1000 -c 150 http://网关公网IP，超过100连接的部分应被拒绝。

任务3：标记并优先处理游戏流量

目标：使用TC保障游戏UDP流量优先级。

创建流量分类标记

iptables -t mangle -A PREROUTING -p udp --dport 5000:6000 -j MARK --set-mark 1

配置HTB队列优先级

tc qdisc add dev eth0 root handle 1: htb  
tc class add dev eth0 parent 1: classid 1:1 htb rate 1gbit  # 高优先级通道（游戏流量）  
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 800mbit prio 0  # 默认通道（其他流量）  
tc class add dev eth0 parent 1:1 classid 1:20 htb rate 200mbit prio 1  # 过滤器绑定标记  
tc filter add dev eth0 protocol ip parent 1:0 prio 0 handle 1 fw flowid 1:10

验证：

在游戏服务器和客户端之间发起UDP流：

iperf3 -s -p 5000  # 服务端  
iperf3 -c 10.1.1.100 -u -p 5000 -b 1000M  # 客户端

同时用 tc -s class show dev eth0 观察带宽分配。

任务4：记录异常连接日志

目标：捕获所有被拒绝的流量用于审计。

创建日志链

iptables -N LOG_DROP  
iptables -A LOG_DROP -j LOG --log-prefix "[IPTABLES DROP] " --log-level 4  
iptables -A LOG_DROP -j DROP

将默认策略指向日志链

iptables -A INPUT -j LOG_DROP  
iptables -A FORWARD -j LOG_DROP

验证：

触发任意拒绝规则（如SSH暴力破解），检查日志：
```
tail -f /var/log/kern.log | grep "IPTABLES DROP"  
```

实训总结

通过本案例，您已掌握以下企业级防护技能：

通过SYN Cookie和速率限制抵御洪水攻击。
使用connlimit模块防止单IP资源耗尽。
结合TC和iptables标记实现流量QoS保障。
利用LOG动作实现安全事件审计。

知识要点

要点	说明
SYN Cookie	内核参数动态防御SYN洪水
connlimit模块	限制单IP并发连接数
TC流量分类	基于fwmark标记实现优先级队列
LOG动作	记录丢弃数据包的详细信息
状态模拟（UDP）	用recent模块追踪无连接协议

扩展挑战：

集成Fail2ban自动封禁恶意IP。
使用ebtables防御ARP欺骗攻击。
部署Elasticsearch+Logstash+Kibana（ELK）实现日志可视化分析。

DDoS防御与流量优化

实训背景某在线游戏平台遭受频繁DDoS攻击，需部署Linux网关实现以下防护与优化功能： 防御SYN洪水攻击：自动识别并拦截高频SYN请求。连接数限制：限制单个IP的最大并发连接数为100，防止资源耗尽。流量优先级保障&#…...

编程日记 2025/9/19 5:51:07

文件上传漏洞原理学习

什么是文件上传漏洞文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全&#…...

编程日记 2025/9/7 10:38:45

005.Gitlab CICD变量使用

文章目录变量介绍预定义变量项目信息类版本控制类流水线执行类runner环境类作业执行类容器注册类其他类别自定义变量变量使用预定义变量使用创建流水线提交流水作业自定义变量使用创建流水线提交流水作业图形UI创建变量UI自定义变量创建流水线提交流水作业变量介绍预定…...

编程日记 2025/9/18 10:53:36

即时通讯软件BeeWorks，企业如何实现细粒度的权限控制？

BeeWorks作为一款专为企业设计的即时通讯平台，高度重视用户隐私安全，采取了多种措施来保障数据的保密性、完整性和可用性。首先，BeeWorks采用私有化部署模式，企业可以将服务器架设在自己的网络环境中，所有通讯数据&a…...

编程日记 2025/9/19 5:49:03

高可用架构：Keepalived、Nginx与Docker深度解析

本文深入解析了Keepalived技术，阐述其基于VRRP协议实现高可用的核心功能，包括虚拟路由器冗余、健康检查、负载均衡集成及脚本执行与通知。同时，设计了Nginx高可用方案，涵盖双机主从、主主及多点集群模式，分析其优缺点。…...

编程日记 2025/9/18 22:17:19

127.0.0.1本地环回地址（Loopback Address）

127.0.0.1 是计算机网络中的一个特殊IPv4地址，称为本地环回地址（Loopback Address），主要用于以下用途： 1. 基本定义本地主机（Localhost）：该地址始终指向当前正在使用的计算机本身&a…...

编程日记 2025/9/11 11:19:26

Windows Terminal 美化增强攻略 2.0：打造个性化高效开发环境（快捷键介绍、编程语言环境、starship美化、高效命令行工具）

前言：从 1.0 到 2.0，终端美化进阶之旅去年，我曾在文章《使用 oh-my-posh 和 clink 打造个性化 PowerShell 和 CMD》中分享了 Windows 终端的美化方案。那时，我选择了 oh-my-posh 作为核心工具，虽然效果不错&#xff…...

编程日记 2025/9/19 5:50:01

网络出故障时，四大表(MAC表、ARP表、路由表、转发表)怎么查？看看这套排查顺序

网络出故障时，四大表 (MAC表、ARP表、路由表、转发表) 怎么查说正题之前，我们先来假设一个场景： 场景假设： 一台华为设备突然上不了网，或者访问某个 IP 不通。你会怎么排查？ 别慌，兄弟&a…...

编程日记 2025/9/19 2:56:00

第七天开始Unity Shader的学习之Unity中的基础光照之高光反射光照模型

Unity Shader的学习笔记第七天开始Unity Shader的学习之Unity中的基础光照之高光反射光照模型文章目录 Unity Shader的学习笔记前言一、高光反射光照模型1.逐顶点光照① Properties② 顶点着色器中计算高光specular③ Fallback效果展示 2.逐像素光照① 片元着色器输出结构体…...

编程日记 2025/9/19 5:50:52

《从 MyBatis-Plus 到 Elasticsearch：一个后端的性能优化踩坑实录》

最近接手了一个老项目，单表查询用 MyBatis-Plus 写得飞起，但一到多表关联模糊搜索就卡成 PPT。痛定思痛，决定引入 Elasticsearch 优化查询性能，结果踩坑无数……记录下这次从 ORM 到搜索引擎的升级历程&#…...

编程日记 2025/9/18 14:17:14

docker 常用指令整理

以下是Docker常用操作指令的整理，分为镜像管理、容器操作、网络配置、数据卷管理、Docker Compose及系统维护等部分： 一、镜像管理拉取镜像 docker pull [镜像名]:[标签] # 默认标签为latest # 示例：拉取Ubuntu 20.04镜像 docker pull ubun…...

编程日记 2025/9/11 12:37:30

密码格式校验c#和js两种

if (!IsValidPassword(xinmima)) { //在前端校验过了，这里不需要 ClientScript.RegisterStartupScript(GetType(), "", "alert(新密码必须至少8位，且至少包含大写字母、小写字母、数字、特殊符号中的3种)", true); } /// <summary> …...

编程日记 2025/9/19 5:48:44

线程控制

POSIX线程库与线程有关的函数构成了⼀个完整的系列，绝⼤多数函数的名字都是以“pthread_”打头的要使⽤这些函数库，要通过引入头文件<pthread.h>链接这些线程函数库时要使⽤编译器命令的“-lpthread”选项 eg: g -o $ $^ -lpthread这个pthread库…...

编程日记 2025/9/19 5:51:06

WebView 与 JavaScript 的交互

从技术深度、安全意识和实战经验来介绍。以下是分层次的回答策略，从基础到高级逐步深入： 1. 基础实现回答要点： "Android 和 JavaScript 的交互主要通过 WebView 的两种方式实现： Android 调用 JS： kotlin we…...

编程日记 2025/9/18 11:35:24

解决word中公式大小不一问题

文章目录前言一、初见端倪二、解决方法三、题外话前言记录一下在 word 中使用 mathtype 编辑公式时出现的公式字体大小不一的问题的解决方法。一、初见端倪最近在 word 中使用 mathtype 进行公式编辑，刚开始编辑的公式并没有什么问题，过了几天后再…...

编程日记 2025/9/15 4:47:21

Haply与PickNik合作：Inverse3三轴力反馈控制器集成MoveIt Pro，提升机器人操作精度

Haply Robotics与PickNik Robotics合作，将Inverse3力反馈控制器集成到MoveIt Pro平台，优化人机交互，提升机器人操作精度。实时力反馈技术使操作者感知机器人与环境的交互力，增强远程操作的精确度和灵敏度，推动机器人技…...

编程日记 2025/9/11 7:49:11

【Linux笔记】文件的传输（scp、rsync、归档、压缩）

一、sshd 1、概念在Linux系统中，文件传输常依赖于SSH协议（Secure Shell），而sshd（OpenSSH Daemon）是负责处理SSH连接的后台服务程序。通过sshd，用户可以在加密的通道中进行安全的远程登录、命…...

编程日记 2025/9/18 14:22:35

单位矩阵的特点

《单位矩阵的特性与重要性质》单位矩阵是一种特殊的方阵，具有以下特点： 主对角线元素全为 1：单位矩阵 I n I_n In是一个 n n n\times n nn的方阵，其主对角线（从左上角到右下角的对角线）上的元素均为 …...

编程日记 2025/9/14 1:32:52

AI处理漫画转视频

AI处理漫画转视频第一步从漫画PDF文件读取图片第二部图片信息剪裁第三步 OCR识别处理图片，获取漫画对应的文本信息第四步运用阿里云通义大模型千文处理提取的文本信息更符合文本语言第五步运用FishVideo大模型将文本信息转变为对应的语音第六步图片转视…...

编程日记 2025/9/17 12:17:53

三维空间中的离散曲线段匹配方法

基于离散 F r e ˊ c h e t Fr\{e}chet Freˊchet距离实现工程中的三维曲线段匹配在自动驾驶系统中, 准确匹配相邻车道线是实现安全导航, 变道决策和路径规划的核心任务. 由于道路网络存在交叉口, 弯道, 多车道并行等复杂场景, 如何衡量目标车道曲线与其他候选车道线的空间关…...

编程日记 2025/9/16 3:29:42

HTML的Canvas元素

<Canvas>元素 <Canvas>元素是HTML5引入的一个强大的绘图元素，它允许通过 JavaScript 在网页上动态绘制图形、动画和交互式内容。需要注意的是，<Canvas>元素只是图形的一个容器，绘制图形必须使用Javascript。空画布 <…...

编程日记 2025/9/18 22:28:55

Django学习记录-2-数据库

Django学习记录-2-数据库文章目录 Django学习记录-2-数据库参考贴连接数据库后台查看数据库后台改为中文 table增删改查Python使用hash保持一致虽然网上教程都很多，但是感觉自己记录一下才属于自己，之后想找也方面一点，文采不佳看的不爽可绕…...

编程日记 2025/9/9 14:38:52

qq邮箱群发程序

1.界面设计 1.1 环境配置在外部工具位置进行配置 1.2 UI界面设计 1.2.1 进入QT的UI设计界面在pycharm中按顺序点击，进入UI编辑界面： 点击第三步后进入QT的UI设计界面，通过点击按钮进行界面设计，设计后进行保存到当前Pycharm…...

编程日记 2025/9/19 0:58:08

spring mvc 中 RestTemplate 全面详解及示例

RestTemplate 全面详解及示例 1. RestTemplate 简介定义：Spring 提供的同步 HTTP 客户端，支持多种 HTTP 方法（GET/POST/PUT/DELETE 等），用于调用 RESTful API。核心特性： 支持请求头、请求体、URI 参数的…...

编程日记 2025/9/15 11:20:10

openEuler-22.03-LTS-SP3 编译安装 Greenplum-db 6.20.0

openEuler-22.03-LTS-SP3 编译安装 Greenplum-db 6.20.0 1、配置 yum 华为源2、安装依赖3、源码安装 openssl 1.0.1u3.1、openssl 1.1.1 降级到 openssl 1.0.1 4、源码安装 python 2.75、使用 pip3 安装 Python 相关依赖6、编译安装 Greenplum-db 6.20.06.1、修改配置6.2、基于…...

编程日记 2025/9/19 4:52:13

天锐蓝盾多模式加密技术，构筑企业数据安全堡垒

一旦企业发生数据泄露，将遭受严重的经济损失，声誉也会一落千丈，甚至可能在激烈的竞争中陷入绝境。那么，企业究竟该如何守护敏感数据，筑牢数据安全的 “护城河” 呢？天锐蓝盾数据泄露防护系统给出了全面且专…...

编程日记 2025/9/18 22:44:11

可编辑37页PPT | 建筑行业DeepSeek日常实操培训

荐言摘要：随着人工智能技术的快速发展，DeepSeek作为一款具有创新性的AI工具，正逐步渗透到建筑行业的各个环节。为帮助建筑行业从业者掌握DeepSeek的核心功能与应用技巧，提升工作效率与决策能力，特推出本次建筑行业Deep…...

编程日记 2025/9/19 1:50:10

C语言指针和函数

文章目录 C语言指针和函数一、指针与函数1.传递指针给函数2.指针函数3.函数指针4.回调函数二、多级指针三、空指针四、野指针 C语言指针和函数在C语言的编程领域中，指针是一把强大而又危险的“双刃剑”。它不仅能够直接操作内存，提升程序的运行效率&a…...

编程日记 2025/9/5 10:52:40

左右开弓策略思路

一、策略概述本策略是一种基于多种技术指标的复杂交易策略，包括自定义指标计算、过滤平滑处理以及交易信号生成。该策略通过不同的交易平台代码段实现，旨在通过分析历史价格数据来预测未来价格走势，并据此生成交易信号。二、主要技术指标…...

编程日记 2025/9/13 1:01:06

mapbox基础，加载F4Map二维地图

👨‍⚕️ 主页： gis分享者 👨‍⚕️ 感谢各位大佬点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍⚕️ 收录于专栏：mapbox 从入门到精通文章目录一、🍀前言1.1 ☘️mapboxgl.Map 地图对象1.2 ☘️mapboxgl.Map style属性二、🍀F4Map 简介2.1 ☘️技术特点2.2 ☘️核…...

编程日记 2025/9/12 18:00:08

doxygen自动生成文档，注释容易错位的补充

开发过程中，为了简化api开发文档的编写工作，我们可以使用doxygen的标注来进行文档注释，最后自动化的生成相关文档： 参考：https://developer.aliyun.com/article/935529 参考：https://blog.csdn.net/qq_3459…...

编程日记 2025/9/16 1:59:04

git操作0409

git init git add. git commit -m "Initial commit" git checkout 7890abc # 切换到旧版本代码（只读） git checkout master # 切回最新版本 git checkout -b new_branch 789abcd # 或 git checkout -b new_branch HEAD~3 很重点 git reflog …...

编程日记 2025/9/6 18:32:27

电阻的额定功率与额定电压详解

一、基本定义额定功率（Rated Power） 定义：电阻在长期安全工作时允许消耗的最大功率，超过此值可能导致过热甚至烧毁。公式： P I R 或 P V / R （I：电流，V：电压&#…...

编程日记 2025/9/2 22:22:26

【后端开发】SpringBoot与Spring MVC

文章目录创建项目目录介绍Spring MVCservletMVCSpring MVCSpringboot与Spring MVC的区别Spring MVC交互创建项目新建一个Springboot项目对应描述目录介绍 src/main/java：Java 源代码 src/main/resources：为静态资源或配置⽂件： ----…...

编程日记 2025/9/17 18:24:14

如何禁用 PyCharm 的测试功能

如何禁用 PyCharm 的测试功能？ PyCharm 的测试功能默认会自动检测项目中符合命名规则的测试文件（如以 test_ 开头的文件）并关联测试框架。若需禁用该功能，可通过以下方法操作： 方法一：全局禁用默认测试框架…...

编程日记 2025/9/9 19:52:53

【Spiffo】光速项目：LVGL v9框架下的MIPI简易相机_Part2

简介本期接上回的工程部署讲一下整个工程的框架逻辑以及相关的模块作用机制，包括mipi抓图像以及后续传递到显示屏的链路逻辑等。一、核心逻辑 1、如何抓到图像数据并显示首先能够从摄像头捕获画面并显示是一个相机最起码要能实现的功能。所以先要搞清楚整个链…...

编程日记 2025/9/10 1:28:31

pycharm编译部署智能合约（solcx与web3搭配）

solcx 是一个 python 库，提供了 solidity 编译器的 python 绑定。它使开发者能够直接从 python 中编译 solidity 源代码，生成以太坊智能合约的字节码（Bytecode）和 ABI（Application Binary Interface）。这个库通常用于与 Web3 库配合使用，帮助开发者进行智能合约的部署、…...

编程日记 2025/9/15 3:12:29

微信小程序中的openid的作用

微信小程序中的openid的作用引言在当今数字化时代，用户体验成为了产品成功与否的关键因素之一。微信小程序作为连接用户与服务的重要桥梁，在提升用户体验方面发挥着重要作用。其中， openid（开放身份标识符）是微信小…...

编程日记 2025/9/11 18:09:07

AAAI 2025新研究！大语言模型+MARL=论文新思路？

最新研究显示，多智能体强化学习（MARL）正迎来一系列技术革新，让AI系统真正具备“群体智能”。同济大学团队提出的动态图通信网络（TGCNet），通过Transformer建模智能体间的动态协作关系&#xff0c…...

编程日记 2025/9/7 18:50:18

旅行世界宠物养殖合成游戏源码

旅行世界宠物养殖合成游戏源码，游戏养成类系统，用户能够通过养狗和参加其他活动获取算力，每日任务不断更新，完结即可收取算力，算力能够兑换现金红包。邀请好友得两级活跃收益提成，徒弟B100.%，徒…...

编程日记 2025/9/11 19:04:52

列表之链表_C

数据结构（邓俊辉）：列表及相关概念_listnodeposi-CSDN博客 #include <stdio.h> #include <stdlib.h>// 定义Rank类型为int typedef int Rank;// 定义ListNode结构体 typedef struct ListNode {int data;struct ListNode* pred;st…...

编程日记 2025/8/31 11:23:46

图解Java设计模式

1、设计模式面试题 2、设计模式的重要性 3、7大设计原则介绍...

编程日记 2025/9/7 14:42:59

CCF GESP Python编程四级认证真题 2025年3月

Python 四级 2025 年 03 月题号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 答案 D C B C D C A A D B D A C B C 1 单选题（每题 2 分，共 30 分） 第 1 题 2025年春节有两件轰动全球的事件，一个是DeepSeek横空出世，另一个是…...

编程日记 2025/9/11 20:53:14

2025最新系统 Git 教程（四）

2.6 Git 基础 - 打标签打标签像其他版本控制系统（VCS）一样，Git 可以给仓库历史中的某一个提交打上标签，以示重要。比较有代表性的是人们会使用这个功能来标记发布结点（ v1.0 、 v2.0 等等）。在本节中…...

编程日记 2025/9/15 1:39:01

数学知识——欧拉函数

欧拉函数 1 ∼ N 1∼N 1∼N 中与 N N N互质的数的个数被称为欧拉函数，记为 ϕ ( N ) \phi(N) ϕ(N)。欧拉函数对于 N p 1 α 1 p 2 α 2 p 3 α 3 . . . p k α k Np_1^{\alpha_1}p_2^{\alpha_2}p_3^{\alpha_3}...p_k^{\alpha_k} Np1α1p2α2p3α3…...

编程日记 2025/9/18 21:16:24

Dify 识别 “subject“ and “intention“ 的提示词

Dify 识别 "subject" and "intention" 的提示词内容如下： You need to decompose the users input into "subject" and "intention" in order to accurately figure out what the users input language actually is. Not…...

编程日记 2025/9/17 19:10:58