Question

我们目前正在针对导致高CPU使用率的一个应用程序收到30Mbps的Spoofed UDP泛洪，我们有一个运行基本版本的IP和IPTables的专用防火墙。

查看流量日志，所有欺骗性UDP流量的头标识号都是31336.是否可以通过IPTables丢弃与此号码匹配的数据包？

这是一张包含wireshark捕获的图片，显示标识号：

UDP数据包内部的数据也在90到800字节之间，这会将合法流量复制到我们的应用程序中。身份证号码是我能看到匹配坏流量的唯一方式。

Answer 1

我会尝试使用iptables＆＃39; u32 extension

我个人没有对此进行测试，但规则看起来应该是这样的：

iptables -A PREROUTING -p udp -m u32 --u32 "2&0xFFFF=0x7a68" -j DROP