Я пытался заблокировать IP-адрес (сетевой инструмент stresser - веб-сайты ddos, продающие ddos-ботов за секунды в Интернете) первого, который я пытался заблокировать с помощью iptables:
iptables -A INPUT -d 173.193.26.73 -j DROP
iptables -A INPUT -s 173.193.26.73 -j DROP
однако я все еще вижу, что IP-адрес и пропускная способность все еще работают на iftop. также все еще вижу ip, идущий на tcpdump.
это нормально? в чем проблема?
Да нормально. iptables не останавливает входящий трафик на ваш физический интерфейс, тем самым iftop считается, и это не мешает ядру видеть, что оно есть, поэтому tcpdump вывод. Однако он не позволяет ядру передавать трафик всему, что может его прослушивать.
Если вы видите вывод трафик в ответ на эти входящие пакеты, что-то не так. Но в остальном нет, это нормально.
Пакеты все еще физически передаются в вашу систему, iptables просто отфильтровывает их, прежде чем они попадут туда, куда хочет отправитель.
Есть несколько вещей, которые вы можете сделать, чтобы решить основную проблему:
Поместите маршрутизатор между вашей машиной и внешним миром который выполняет фильтрацию за вас и прозрачно пересылает все остальные пакеты.
Маршрутизаторы оптимизированы для такого рода операций, поэтому в качестве первой линии защиты это определенно неплохая идея. Хотя вы захотите поддерживать прошивку в актуальном состоянии, если она сама этого не сделает.
Конечно, вы также захотите изменить DNS-запись на отказоустойчивый сервер (если вы беспокоитесь о простоях, что, вероятно, и есть), пока вы подключаете маршрутизатор и убедитесь, что он делает то, что вы хотите. .
Использовать -I скорее, чем -A; Таким образом, правила блокировки обрабатываются первыми, и ваш ЦП не сжигает столько циклов проверки пакетов, которые, как вы сразу понимаете, ужасны по отношению ко всем другим правилам.
Если сайт пытается атаковать вас, я предполагаю, что они составляют значительный источник трафика, и если да, то правила, которые к ним применяются, должны быть обработаны раньше. Хорошее эмпирическое правило - упорядочить правила в зависимости от вероятности события. Чем больше вероятность сетевого события, тем раньше с ним нужно бороться.
Конечно, это также должно быть сопоставлено со сложностью обработки сетевого события (т. Е. Если событие A вдвое выше, чем событие B, но требует обработки в 300 раз, правила для события B, вероятно, должны действовать первыми), но в этом случае из пары правил отбрасывания для сайта, который пытается сделать DoS, это, вероятно, беспроигрышный вариант.
Один из способов предотвратить слишком громоздкий набор правил iptables - создать новые цепочки для обработки каждого типа трафика (например, цепочку для обработки попыток подключения к частной сети, цепочку для управления регулированием ssh и т. Д.), Чтобы цепочка INPUT (которая можно рассматривать как main метод, если у вас есть опыт программирования) просто вызывает другие цепочки для выполнения основной работы. Поэтому, если вы хотите поэкспериментировать с новыми наборами правил или изменить порядок обработки для разных событий, вам нужно только изменить порядок безусловных переходов в INPUT.
Ознакомьтесь с Условиями использования их интернет-провайдеров. и, если они нарушают правила, проинформируйте своего интернет-провайдера (как можно более конкретно указав, что они нарушают; вы захотите предоставить рекомендации, и вы захотите произвести впечатление вежливого и профессионального). кто получает вашу электронную почту любит вас, и вы облегчаете их работу, у вас больше шансов получить результат).