看看以下问题：

• 软件应用程序如何防御 DDoS 攻击
• 高级防火墙使用什么技术

因为那里的答案会给出一些指示。基本上你不能在设备中做到这一点，因为攻击的分布式特性意味着你需要拥有可以应对的基础设施，这就是为什么 DDoS 保护服务往往与 ISP 一起提供并且更多地依赖于主动路由、路径限制和上游过滤。

抱歉，您无法通过直接在服务器上运行的软件防火墙有效地防范现代 DDoS 攻击。数据包速率可能会变得太高和/或数据包进入防火墙允许通过的有效端口。

您可以使用 iptables 进行基本的速率限制。但是 DDoS 中的第一个“d”代表“分布式”。参与攻击的主机很多，每个主机的贡献率可能很低，因此限速可能没有太大帮助。

也就是说，如果你想要一个 iptables 的管理工具，有几个选项。Ubuntu 附带“ufw”——简单的防火墙，它名副其实。对于稍微复杂一点的解决方案，我非常喜欢Shorewall。还有很多其他的——去你最喜欢的发行版的支持论坛，你会发现很多选择。

这不是 iptables，但我喜欢Roboo。

[引用：抱歉，您无法通过直接在服务器上运行的软件防火墙有效地防范现代 DDoS 攻击]

100% 正确。通缩和负载平衡是仅有的 100% 完全防护 DDoS 缓解措施。当然，您需要一个多服务器设置或 Cloud CDN。（有关更多信息。查看云安全服务提供商的比较评论）

另外我必须说，限制 IP 范围不仅无效，而且（可能）有害。如前所述，DDoS 使用僵尸网络——一个 PC 网络，有时可能是一个非常大的不一致 IP 池。

在这种越来越普遍的情况下，阻止“攻击”IP 范围实际上可以阻止合法访问者的访问，但不能阻止 DDoS 攻击本身。