攻击者对您怀有恶意,或者对贵公司的商业数据感兴趣。 攻击者受雇于报复者,通常属于组织性网络犯罪。 攻击者过于无聊通过网络扫描寻找肉鸡，以此证明自己技术高超。

https://www.xikunyun.com/act/20191212

但是，是否有针对DDoS的可靠解决方案？不，没有针对DDoS的完美解决方案，但是我们大家可以通过保护服务器和网络在很大程度上防止DDoS。

什么是DDoS？

在继续进行CentOS DDoS保护的步骤之前，让我们先了解一下DDoS。DDoS（分布式拒绝服务）是DoS（拒绝服务）的高级版本，换句话说，DDoS会通过向目标服务器发送大量流量，从而拒绝服务器上运行的重要服务，从而使服务器无法处理它们。攻击者利用服务器中的安全漏洞（易受攻击的应用程序，过时的软件等）来静默安装各种后门工具。因此，这会导致服务器停机,公司财务损失等。

防火墙兼容性问题

CentOS7目前还受到官方的支持,CentOS下的防火墙实体工具netfilter iptables,在CentOS 8中的firewalld后端程序已由nftables取代,在CentOS7完成CentOS8交棒的时期，此文对你也许仍然有价值。

在CentOS8中你仍然能够最终靠direct规则创建你的防御规则，但非常不行的是，早期的nftable对iptable规则的语法的兼容性还是存在很大问题的，如下图所示

当你的Linux防火墙安全方案部署到生产环境不是一味追求新技术潮流，最重要是稳定和循序渐进地规定到新的防火墙技术。

基于上文这些原因,如果你正当部署CentOS 8的防火墙，我强烈建议你暂时将firewalld的后端从nftables切换回iptables，操作方法如下

以root管理员权限修改/etc/firewalld/firewalld.conf配置文件，如下图第58行的FirewallBackend为iptables

本文仍然以CentOS7为基础它是Linux系统上的默认防火墙管理实用程序-使用Linux系统的每个人都应该熟悉或至少听说过它。

iptables可用于过滤某些数据包，阻止源或目标端口和IP地址，通过NAT转发数据包以及许多其他功能。

梳理你的iptables规则

要了解为什么当前的iptables规则可以有效的预防DDoS攻击，我们首先必须深入研究iptables的工作原理。iptables是用于建立和控制IP数据包过滤器规则表的命令行工具。 有不同用途的表格。

 filter表:如果不使用-t（–table）选项，则过滤器表是规则使用的默认表，也是最常用的表。 nat：此表用于网络地址转换(NAT)。如果数据包创建新连接，则会检查NAT表中的规则。 mangle：mangle表用于修改或标记数据包及其标头信息。 raw：此表的主要目的是从使用NOTRACK目标的连接跟踪中排除某些数据包。

如您所见，一个普通的Linux系统上有四个不同的表，它们没有加载非标准内核模块。 这些表中的每一个都支持一组不同的iptables链。

根据您要拦截或修改的数据包类型，您可以再一次进行选择某个iptables表和所选表支持的链。当然，我们仍然缺少对iptables目标(ACCEPT、DROP、REJECT等)的解释，但我们假设如果您正在阅读本文，您已经知道怎么样处理iptables了。

我们将解释为什么您的iptables规则会阻止DDoS，而不会教您如何使用iptables。如果要使用iptables阻止DDoS攻击，则iptables规则的性能很重要。大多数基于TCP的DDoS攻击类型使用较高的数据包速率，这在某种程度上预示着每秒的数据包数量之多就是导致服务器宕机的原因。因此，您要确保每秒可以处理和阻止尽可能多的数据包。

您会发现，有关如何使用iptables阻止DDoS攻击的大部分(如果不是全部)指南都使用filter表和规则DDoS规则的INPUT链。这种方法的问题是，INPUT链只在PREROUTING和FORWARD链之后处理，因此只有当数据包与这两个链中的任何一个都不匹配时才适用。这导致消耗资源的分组的过滤中的延迟。总而言之，为了使我们的规则尽可能有效，我们应该将我们的防御DDoS规则尽可能移动。

第一个可以应用于数据包的链是PREROUTING链，所以理想情况下，我们该已经过滤了这个链中的坏包。

然而，filter表不支持PREROUTING链。要解决此问题，我们大家可以简单地使用mangle表而不是filter表来执行防DDoS的direct规则。它支持filter表支持的大部分(如果不是全部)规则，同时还支持所有链(Chain)。那么你想知道为什么你的iptables DDoS保护规则很烂吗？这是因为您使用filter表和INPUT链来阻止恶意数据包！