如何配置防火牆使得伺服器攔截來自任何 IP 地址的第一個數據包？

udp協議。攻擊源偽造ip地址，發送數據包使得伺服器停止響應。如何配置防火牆攔截所有ip地址的第一個數據包，放行該ip的後來數據包（若攔截後一定時間內比如3秒）就斷開連接？

給您提一個微末的建議：別自己折騰了，找現成解決方案吧。換個IP，套個CDN，然後泡杯咖啡等管理頁面里的攻擊流量曲線下去。

您要實在不知道咋搞啊，http://cloudflare.com首頁右上角那麼大的"Under Attack?"生怕您看不到。

不行百度"Anti-DDoS"、"DDoS高防伺服器"，選正規雲廠商。

您一定要自己折騰，可以百度一下「UDP FLOOD防禦」。

web的話直接屏蔽udp不就行了……如果你udp沒業務的話。

如果不是個人而是企業建議購買一台ads做流量清洗，畢竟只是udp洪泛攻擊就掛了，真要碰到哪個大佬打了個慢連攻擊靠配置路由器根本擋不住……

三秒的tcp連接，你連udp洪泛都擋不住，tcp mss設1來個slowbody洪泛，分分鐘水漫金山……

可以參考一下這個 https://www.cnblogs.com/martinzhang/p/5348769.html ，看起來照著改一下規則應該是可以實現的。

但是你這個應該是 Web 服務嗎？感覺這樣防不了 UDP Flood 啊

這個好像實現不了啊，看了一下你的思路，是想把所有的第一個數據包都攔截，然後放行後面的。不說實現難度的事，就算實現了，這代價足夠你用專業高防伺服器費用了，非要這麼折騰嗎？

專欄求關注

如果是攻擊網站、域名的，以下：

1、如果有錢的，是大網站的，可以上阿里雲之類的買個高防服務。

2、沒錢的小網站，也可以買台雲主機，然後將域名解析到雲主機的IP上，然後雲主機再做一個nginx之類的反向代理到你的網站

然後將域名解析到高防IP或者雲主機IP，利用他們的防護能力來清洗。

如果是對著IP攻擊的，最好是能換個IP，然後新IP不要對外暴露，買個雲主機或者其它啥的，把雲主機IP暴露出來給用戶，然後雲主機再反向代理到新IP，如果不能換比較麻煩，看看你這個IP的所在運營商有沒有流量清洗服務。

DDOS攻擊只所以自已不好解決，是因為通常DDOS攻擊會把你的上端流量全部堵死，你在下端放任何設備、做任何技術手段都是意義不大。少數情況下，沒有堵死，那會有一些手段。

另外，現在DDOS攻擊一般不會很長時間，如果很長時間，報警，是有辦法追蹤到攻擊者的。

阿里的高防那麼貴，還不如直接買個高防伺服器，雙重防護，如果不想更換伺服器的話也可以買個高防IP，不用更換伺服器，直接CC DDOS打到我們給你的高防IP上，價格也就相當一台普通伺服器的價格

你是搞錯了沒有？udp是沒有連接的，怎麼會存在3秒後斷開連接呢？（udp是沒有連接的，udp是沒有連接的，udp是沒有連接的，重要的事情說三遍）。ddos都是偽造源ip攻擊的，不同的源ip只會攻擊一遍，不存在只攔第一個數據包。你弄清楚想要完成什麼再問吧

其實防DDoS可以從攻擊發生的上下文環境找突破口。

如果不是有組織有計劃的攻擊，只是由個人發起的DDoS，可能在發動攻擊前他會親自來確認一下你的服務還活著，需要DDoS的洗禮，那麼保持對此人表現為掛了就成為解決DDoS攻擊問題的一個思路。畢竟，DDoS也是要成本的，對著一個掛掉的伺服器DDoS是沒意義的，同時他的目的就是讓你掛掉，達到目的以後也就沒必要再花成本去搞你了。

最後，CDN真的很好用，不暴露自己的真實IP很重要。