Так что простите меня, если это глупый вопрос, я не особо разбираюсь в сетях. Сервер друзей наводнен определенным IP, что довольно очевидно, если посмотреть на вывод tcptrace, так как есть сотни подключений с состоянием "СБРОС".
Я сделал очевидное и заблокировал указанный IP-адрес с помощью iptables:
iptables -I INPUT -s <bad guy> -j DROP
Что, насколько я понимаю, должно помочь. Теперь вместо «RESET» соединения отображаются как «SYN_SENT» в tcptrace, что для меня не имеет смысла.
Я что-то не замечаю? Нужно ли мне предпринимать дополнительные шаги, чтобы ядро полностью разорвало соединение?
РЕДАКТИРОВАТЬ:
Дополнительная странность заключается в том, что ни с использованием правила iptables, ни без него не обнаруживаются какие-либо странные соединения с netstat -tuna (должен любить эту команду), которую я прочитал несколько раз, не должно быть так.
Что, насколько я понимаю, должно помочь. Теперь вместо «RESET» соединения отображаются как «SYN_SENT» в tcptrace, что для меня не имеет смысла.
О большинстве инструментов на основе pcap важно помнить, что pcap обычно захватывает более низкие уровни сетевого стека ядра, чем любой код netfilter. Таким образом, пакет, который вы сбросили с помощью iptables, все равно поступит на интерфейс и будет захвачен.
Вы видите пакеты SYN трафика в своем захвате, но они, вероятно, не передаются ни на что другое в системе, если ваше правило правильно соответствует трафику. Посмотрите на прилавки (iptables -nvL) для правила, чтобы дважды проверить.
с или без правила iptables, появляются ли какие-либо странные соединения с помощью netstat -tuna
С действующим правилом мы, очевидно, ничего не ожидаем увидеть, так что это не слишком удивительно. Не уверен, почему вы ничего не видели без правила. Хотя, наверное, я бы использовал ss -nut через netstat.