Кто-то заваливает наш сервер UDP-пакетами. Я просто установил правило iptable, чтобы заблокировать этот IP. Однако, когда я запускаю команду iftop, я вижу, что на мой сервер приходит огромный трафик. Когда я поискал iptables, чтобы узнать, сколько трафика он заблокировал; он показывает только некоторые МБ данных, заблокированных для этого конкретного IP. Разве это не должно показывать, что трафик для объятий заблокирован?
Когда я анализирую пакеты с помощью tcpdump, я не вижу этот IP-адрес в журналах tcpdump. Когда iftop показывает так много входящего трафика с этого IP-адреса, тогда почему tcpdump не имеет следов этого IP-адреса?
Я заблокировал IP-адрес с помощью правила iptable: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop показывает трафик с x.ip-x-X-XX.net. Может ли это быть причиной того, что это не IP? Я попытался поместить этот адрес в список блокировки с помощью iptables, но iptable разрешает его как IP-адрес, чтобы заблокировать его.
1 - Почему iftop показывает столько трафика, если iptables блокирует его попадание на мой сервер?
2 - Почему iptables не показывает большой заблокированный трафик, если пытается его заблокировать?
3 - Есть ли разница между блокировкой IP и адреса домена в iptables?
tcpdump захватывает трафик. Я выполнял команду для eth0, когда атака была на eth1.
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
Почему iftop показывает так много трафика, если iptables блокирует его попадание на мой сервер?
Поскольку утилиты pcap просматривают данные захвата с интерфейса до применения правил netfilter (iptables).
Ваше правило, блокирующее трафик, предотвратит пересылку или обработку этого трафика любым программным обеспечением, работающим на сервере. Netfilter не может вообще предотвратить попадание пакетов в вашу систему. Для этого потребуется некоторая фильтрация в восходящем направлении.
Есть ли разница между блокировкой IP и адреса домена в iptables?
Netfilter (iptables) в основном работает на уровне 3 сетевой модели. Все, что он знает, - это IP-адреса и порты. Инструмент iptables, который добавляет правила в ядро (netfilter), попытается разрешить DNS для правила за вас, но это происходит, когда правило вставлено в ядро.