誰かが私のサーバーを DOS 攻撃しています。この攻撃に関係するサーバーは 1 台だけなので、DDOS 攻撃ではありません。次の iptable ルールを設定して、攻撃者からのすべてのパケットをドロップします。
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
このルールはうまく機能しました。iftop コマンドを使用して、彼のトラフィックが私のサーバーに届くのを確認できました。ただし、DOS 攻撃を受けても、私のサービスはすべてスムーズに機能していました。彼は 2 ~ 3 日間私のサーバーを DOS し続けましたが、iptables ルールは彼のパケットをドロップするのに非常にうまく機能しました。しかし、今日彼は同じ帯域幅で再び DOS 攻撃を実行しましたが、私のサーバーは停止していました。パケットをキャプチャ/分析しましたが、iptables はすべてのパケットを正常にドロップしました。
また、IP テーブルによってブロックされたトラフィックの量を確認するために、次のコマンドを実行しました。
iptables -nvL --line-numbers
22G トラフィックは 2 ~ 3 日間ブロックされました。
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
ブロックされたのは 3 GB のトラフィックだけです。しかし、彼は一日中私たちのサーバーに DOS 攻撃を仕掛け、100 GB を超えるトラフィックが発生しました (私見)。
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
なぜサーバーがまだダウンしていたのでしょうか? 何を変えればよかったのでしょうか? 彼を阻止するために私が実行できる他のルールや保護策はありますか? すでに彼の IP をホスティング会社に報告しましたが、サーバーをシャットダウンするには調査に 7 ~ 8 日かかります。
答え1
ホストベースのファイアウォールはサービスを保護する可能性がありますが、問題のあるトラフィックは破棄される前にホストに配信される必要があります。
アップリンクは依然として有限のリソースであり、攻撃者が送信するゴミの量が増えると、正当なトラフィックに悪影響を与えるリスクも高まります。ホスティング プロバイダーがサポートできるかどうか (ネットワークのエッジでサポートできる場合もあります) を問い合わせることをお勧めします。