iptable 규칙은 때때로 작동합니다

나에게 많은 UDP 패킷을 보내는 공격자 IP를 차단했습니다.

iptables -I 입력 1 -s IP_OF_ATTACKER -j DROP

이 규칙은 모두 잘 작동했습니다.

iptables -nvL --line-numbers

22G 트래픽이 2~3일 동안 차단되었습니다.

num   pkts bytes target     prot opt in     out     source               destination
1    3203K   22G DROP       all  --  *      *       ATTACKER_IP          0.0.0.0/0

그러나 지난 2~3일부터 이 규칙은 더 이상 작동하지 않습니다. 공격자는 UDP 패킷을 보내고 있으며 iptables는 이를 차단하지 않습니다.

num   pkts bytes target     prot opt in     out     source               destination
1     707K 3553M DROP       all  --  *      *       ATTACKER_IP         0.0.0.0/0

이유가 무엇일까요?

추신: 호스팅 제공업체가 도움이 된다면 연락하지 말라고 제안하지 마세요. 제가 여기에 있지는 않을 것입니다. :)

편집하다

패킷을 분석/캡처하기 위해 Wireshark/tcpdump를 사용했습니다. 모든 패킷이 UDP임을 보여줍니다. 위에서 언급한 대로 iptables 명령을 사용하여 iptables 규칙이 얼마나 많은 데이터를 차단했는지 확인합니다. 위는 iptables 차단 데이터의 출력입니다. iptable이 모든 데이터를 차단했을 때 우리 서버는 모두 잘 작동했습니다.

**IP Table rules**
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*raw
:PREROUTING ACCEPT [8393:667810]
:OUTPUT ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*nat
:PREROUTING ACCEPT [2517:112725]
:INPUT ACCEPT [2517:112725]
:OUTPUT ACCEPT [1018:179752]
:POSTROUTING ACCEPT [1018:179752]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*mangle
:PREROUTING ACCEPT [8393:667810]
:INPUT ACCEPT [8393:667810]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7043:795032]
:POSTROUTING ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*filter
:INPUT ACCEPT [23:1500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:2068]
:fail2ban-ssh - [0:0]
-A INPUT -s xx.xxx.xx.xx/32 -j DROP
COMMIT
# Completed on Mon Jun 15 23:26:40 2015