Jemand überflutet unseren Server mit UDP-Paketen. Ich habe einfach eine iptable-Regel eingerichtet, um diese IP zu blockieren. Wenn ich jedoch den Befehl iftop ausführe, sehe ich, dass ein riesiger Datenverkehr auf meinen Server kommt. Als ich nach iptables suchte, um zu sehen, wie viel Datenverkehr blockiert wurde, wurden nur einige MB Daten für diese bestimmte IP blockiert. Sollte nicht angezeigt werden, dass sehr viel Datenverkehr blockiert wurde?
Wenn ich Pakete mit tcpdump analysiere, sehe ich diese IP nicht in den tcpdump-Protokollen. Wenn iftop so viel eingehenden Datenverkehr von dieser IP anzeigt, warum hat tcpdump dann keine Spur dieser IP?
Ich habe die IP mit der iptable-Regel blockiert: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop zeigt Datenverkehr von x.ip-xX-XX.net an. Könnte das der Grund sein, da es keine IP ist? Ich habe versucht, diese Adresse mit iptables in die Sperrliste aufzunehmen, aber iptable löst sie als IP-Adresse auf, um sie zu blockieren.
Fragen:
1 – Warum zeigt iftop so viel Datenverkehr an, wenn iptables den Zugriff auf meinen Server blockiert?
2 – Warum zeigt iptables keinen großen blockierten Datenverkehr an, wenn es versucht, ihn zu blockieren?
3 – Gibt es einen Unterschied zwischen dem Blockieren einer IP- und einer Domänenadresse in iptables?
Aktualisieren
tcpdump erfasst den Datenverkehr. Ich habe den Befehl für eth0 ausgeführt, während der Angriff auf eth1 stattfand.
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
Antwort1
Warum zeigt iftop so viel Datenverkehr an, wenn iptables den Zugriff auf meinen Server blockiert?
Weil PCAP-Dienstprogramme Daten von einer Schnittstelle erfassen, bevor irgendwelche Netfilter(iptables)-Regeln angewendet wurden.
Ihre Regel, die den Datenverkehr blockiert, verhindert, dass dieser Datenverkehr weitergeleitet oder von einer auf dem Server ausgeführten Software verarbeitet wird. Netfilter kann nicht verhindern, dass die Pakete überhaupt auf Ihr System gelangen. Dazu müsste eine Art Filterung vorgelagert erfolgen.
Gibt es einen Unterschied zwischen dem Blockieren einer IP- und einer Domänenadresse in iptables?
Netfilter (iptables) arbeitet hauptsächlich auf Schicht 3 im Netzwerkmodell. Es kennt nur IP-Adressen und Ports. Das iptables-Tool, das die Regeln in den Kernel (Netfilter) einfügt, versucht, DNS für eine Regel für Sie aufzulösen, aber das geschieht, wenn die Regel in den Kernel eingefügt wird.