Кто-то загружает мой сервер в DOS. Это не DDOS-атака, поскольку в этой атаке задействован только один сервер. Я просто установил следующее правило iptable, чтобы отбрасывать все пакеты, исходящие от злоумышленника:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
Это правило прекрасно работало. Я мог видеть его трафик, поступающий на мой сервер, с помощью команды iftop. Однако все мои службы работали без сбоев даже под DOS-атакой. Он продолжал ДОЗИРОВАТЬ мой сервер в течение 2-3 дней, но правила iptables отлично работали, чтобы отбрасывать его пакеты. Однако сегодня он снова запустил свою DOS-атаку с той же пропускной способностью, но мой сервер был мертв. Я захватил / проанализировал пакеты, но iptables успешно сбросил все пакеты.
Я также выполнил следующую команду, чтобы узнать, сколько трафика было заблокировано IP-таблицами:
iptables -nvL --line-numbers
Трафик 22G был заблокирован на 2-3 дня:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
Было заблокировано только 3гб трафика. Однако он весь день загружал наш сервер в DOS, и там было более 100 ГБ трафика (ИМХО).
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
Почему сервер все еще не работал? Что можно было изменить? Есть ли какое-нибудь другое правило или защита, которые я могу сделать, чтобы остановить его? Я уже сообщил о его IP-адресах в хостинговую компанию, но им требуется 7-8 дней для расследования, чтобы отключить его серверы.
Брандмауэр на основе хоста может защитить ваши службы, но вредоносный трафик все равно должен быть доставлен на ваш хост, прежде чем его можно будет отбросить.
Ваш исходящий канал по-прежнему является ограниченным ресурсом, и если количество мусора, отправляемого вашим злоумышленником, возрастет, возрастет риск пагубного воздействия на законный трафик. Возможно, вы захотите связаться со своим хостинг-провайдером, если он может вас поддержать (возможно, на границе своей сети).