Я использую iptables для блокировки различного рода атак на свой сервер. У нас другой набор правил, а также другие правила ограничения скорости. Теперь я также использую сценарий, который соблюдает порог, если он превышает 10 МБ / с, и выгружает все пакеты в файл. Этот сценарий продолжает работать все время во время сеанса экрана и использует следующую команду для дампа:
tcpdump -nn -s0 -c 2000 -w Attack.cap
sleep 300
После нападения он ждет 5 минут, чтобы проверить наличие новой атаки (сон 300). Теперь я сомневаюсь, что во время процесса захвата пакетов iptables по-прежнему работает, потому что в / var / messages я вижу такие строки, как «eth0 вошел в беспорядочный режим» и «eth0 вышел из неразборчивого режима», чтобы он мог не заметить iptables?
http://en.wikipedia.org/wiki/Promiscuous_mode
В компьютерных сетях неразборчивый режим или неразборчивый режим - это режим для контроллера проводного сетевого интерфейса (NIC) или контроллера беспроводного сетевого интерфейса (WNIC), который заставляет контроллер передавать весь получаемый им трафик на центральный процессор (ЦП), а не передавать только кадры, которые предназначен для приема контроллером.
Это не обходит никаких брандмауэров.
Попробуйте использовать команду
tcpdump -i eth0 -p nn -s0 -c 2000 -w Attack.cap
По умолчанию tcpdump переведет интерфейс в неразборчивый режим. Для ваших целей я не считаю, что вам нужен беспорядочный режим для того, что вы делаете. Указание интерфейса предотвращает tcpdump от поиска и, возможно, получения неправильного интерфейса.
tcpdump захватывает сырые пакеты, прежде чем они попадут в брандмауэр iptables, поэтому вы сможете видеть пакеты, которые отбрасываются или отклоняются брандмауэром.