Даже после бега
iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j DROP
Я продолжаю получать пакеты ICMP типа 3 с кодом 13 на tcpdump. когда я бегу tcpdump icmp, Я получаю такие сообщения:
19:41:31.923630 IP NAMESOURCE > MY_NAME: ICMP net IP_SOURCE unreachable, length 76
У меня вопрос: как мне избавиться от этих пакетов?
Кстати, я получаю эти пакеты из нескольких источников, что наводит меня на мысль, что это может быть своего рода (D) DoS. Но я не уверен, какую роль я играю в этом.
Кроме того, snort продолжает выдавать предупреждения:
[**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**]
[Classification: Misc activity] [Priority: 3]
05/02-19:44:20.171298 SOURCE_IP -> MY_IP
ICMP TTL:238 TOS:0x0 ID:13584 IpLen:20 DgmLen:56
Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED,
PACKET FILTERED
** ORIGINAL DATAGRAM DUMP:
MY_IP:47541 -> SOURCE_IP:8080
TCP TTL:47 TOS:0x0 ID:22750 IpLen:20 DgmLen:60 DF
Seq: 0x5EB7CF7A
** END OF DUMP
Я бы рискнул предположить (трудно быть уверенным без дополнительных исследований), что кто-то подделывает ваш IP-адрес в качестве источника, и вы получаете ответный трафик.
Помни это tcpdump проверяет "провод" (т.е. ПЕРЕД iptables), поэтому вы все равно будете видеть трафик в tcpdump, даже если iptables его отбрасывает.
Вы не можете остановить приходящие к вам пакеты (ваш провайдер должен это сделать), все, что вы можете сделать, это отбросить их, чтобы минимизировать влияние на ваш хост.
Помните, что iptables правила обрабатываются в указанном порядке, поэтому, если цепочка вернется до того, как достигнет вашего правила, это не будет иметь никакого эффекта.
Будьте осторожны, ICMP критически важен для работы сети, он используется, чтобы сообщить вам, что некоторые соединения не работают, среди длинного списка других сообщений об ошибках. Чтобы затопить любую разумную машину через ICMP, негодяй потребует немало изобретательности, не беспокойтесь об этом слишком сильно.