На этот вопрос уже есть ответ здесь:
Один из моих серверов подвергается постоянным SYN DDoS атакам. Я решил установить fail2ban, но, насколько я могу понять, он справится только с атаками на вход по ssh. Как я могу остановить эти SYN DDoS атаки. Я не могу найти никаких особенно четких советов на stackoverflow или в Google. Ссылка также будет достаточной.
Спасибо.
Нет действительно большого количества восходящих решений этой проблемы - если Вы не можете определить некоторую различающую характеристику трафика (скажите, злой бит установлен), Ваши восходящие потоки не смогут отфильтровать трафик, прежде чем это доберется до Вас.
Хорошие новости - то, что, пока Вы включили куки SYN, лавинной рассылкой SYN не является особенно эффективный DDoS, и это - только риск, то, что это заполнит Ваш канал. Так, зеркально отразите бит при необходимости (echo 1 >/proc/sys/net/ipv4/tcp_syncookies
) и следите за своим использованием пропускной способности.