Alguien está haciendo DOS en mi servidor. No es un ataque DDOS ya que solo hay un servidor involucrado en este ataque. Simplemente puse la siguiente regla de iptable para descartar todos los paquetes provenientes del atacante:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
Esta regla funcionó bien. Pude ver su tráfico llegando a mi servidor usando el comando iftop. Sin embargo, todos mis servicios funcionaron sin problemas incluso bajo un ataque de DOS. Siguió DOSIFICANDO mi servidor durante 2 o 3 días, pero las reglas de iptables funcionaron muy bien para descartar sus paquetes. Sin embargo, hoy volvió a ejecutar su ataque DOS con el mismo ancho de banda pero mi servidor estaba inactivo. Capturé/analicé paquetes, pero iptables eliminó todos los paquetes con éxito.
También ejecuté el siguiente comando para ver cuánto tráfico bloquearon las tablas de IP:
iptables -nvL --line-numbers
El tráfico 22G estuvo bloqueado durante 2 o 3 días:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
Sólo se bloqueó el tráfico de 3 GB. Sin embargo, puso en DOS nuestro servidor durante todo el día y hubo más de 100 GB de tráfico (en mi humilde opinión).
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
¿Por qué el servidor seguía caído? ¿Qué cosas se podrían haber cambiado? ¿Existe alguna otra regla o protección que pueda hacer para detenerlo? Ya informé sus IP a la empresa de alojamiento, pero la investigación tarda entre 7 y 8 días en cerrar sus servidores.
Respuesta1
Un firewall basado en host puede proteger sus servicios, pero el tráfico infractor aún debe entregarse a su host antes de poder descartarlo.
Su enlace ascendente sigue siendo un recurso finito y si aumenta la cantidad de basura que envía su atacante, también aumentará el riesgo de un efecto perjudicial en el tráfico legítimo. Es posible que desee ponerse en contacto con su proveedor de alojamiento si puede brindarle asistencia (tal vez en el borde de su red).