尊敬的用户,您好:
近期我们遭遇了一次大规模 DDoS 攻击,导致大量攻击流量被计入各实例的下载方向流量中。您可以在虚拟机的网卡监控中,直观地看到这些异常流量的流入。为保障整体网络的稳定性及客户体验,我们已对所有节点开启了清洗,并将所有服务下载方向流量进行了清零处理。
✨ 当前网络影响
由于防火墙清洗机制,部分 UDP 业务可能被误判并遭到清洗;
防火墙在清洗流量时可能会降低路径 MTU,导致某些应用(如 TCP 长连接、WebSocket、VPN 等)出现传输异常。
🔧 建议措施
如果您有重要的 UDP 服务,建议配合使用 TCP 或在应用层加入重试、容错逻辑。
在虚拟机中配置 TCP MSS(最大报文段长度)以适应可能降低的 MTU,避免因分片或报文过大导致的连接中断。
下面是一个通用的 iptables 配置示例,您可以将其加入到宿主机或虚拟机的防火墙规则中:
iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --clamp-mss-to-pmtu
该规则会在 TCP 三次握手阶段自动将 MSS 调整为路径 MTU 减去 IP/TCP 头部长度,从而保证后续数据包不会因 MTU 变化而被丢弃或阻塞。
如有任何疑问或需要帮助,请及时提交工单或联系在线客服,我们将竭诚为您服务。感谢您的理解与配合!
ISIF OÜ
评论 (0)