Alguien está inundando nuestro servidor con paquetes UDP. Simplemente puse regla iptable para bloquear esa IP. Sin embargo, cuando ejecuto el comando iftop puedo ver un gran tráfico llegando a mi servidor. Cuando busqué iptables para ver cuánto tráfico había bloqueado; solo muestra que se han bloqueado algunos MB de datos para esa IP específica. ¿No debería mostrar que se ha bloqueado el tráfico de abrazos?
Cuando analizo paquetes usando tcpdump, no veo esa IP en los registros de tcpdump. Cuando iftop muestra tanto tráfico entrante desde esa IP, ¿por qué tcpdump no tiene ningún rastro de esa IP?
He bloqueado la IP usando la regla iptable: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop muestra tráfico de x.ip-xX-XX.net. ¿Podría ser esta la razón por la que no es una IP? Intenté poner esta dirección en la lista de bloqueo usando iptables pero iptable la resuelve como dirección IP para bloquearla.
Preguntas:
1 - ¿Por qué iftop muestra tanto tráfico si iptables lo bloquea para ingresar a mi servidor?
2 - ¿Por qué iptables no muestra ningún tráfico bloqueado enorme si está intentando bloquearlo?
3 - ¿Existe alguna diferencia entre bloquear una IP y una dirección de dominio en iptables?
Actualizar
tcpdump captura el tráfico. Estaba ejecutando el comando para eth0 mientras el ataque estaba en eth1.
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
Respuesta1
¿Por qué iftop muestra tanto tráfico si iptables lo bloquea para ingresar a mi servidor?
Porque las utilidades pcap buscan capturar datos desde una interfaz antes de que se haya aplicado cualquier regla de netfilter(iptables).
Su regla que bloquea el tráfico evitará que ese tráfico sea reenviado o procesado por cualquier software que se ejecute en el servidor. Netfilter no puede impedir que los paquetes lleguen a su sistema en primer lugar. Para eso, sería necesario realizar algún tipo de filtrado en sentido ascendente.
¿Existe alguna diferencia entre bloquear una IP y una dirección de dominio en iptables?
Netfilter(iptables) opera principalmente en la capa 3 del modelo de red. Todo lo que sabe son direcciones IP y puertos. La herramienta iptables, que agrega las reglas al kernel (netfilter), intentará resolver DNS para una regla, pero eso sucede cuando la regla se inserta en el kernel.