누군가 내 서버를 도싱하고 있습니다. 이 공격에는 서버가 하나만 포함되어 있으므로 DDOS 공격이 아닙니다. 나는 공격자로부터 오는 모든 패킷을 삭제하기 위해 다음과 같은 iptable 규칙을 적용했습니다.
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
이 규칙은 모두 잘 작동했습니다. iftop 명령을 사용하여 그의 트래픽이 내 서버로 들어오는 것을 볼 수 있었습니다. 그러나 DOS 공격에도 불구하고 모든 서비스는 원활하게 진행되었습니다. 그는 2~3일 동안 내 서버를 계속 공격했지만 iptables 규칙은 그의 패킷을 삭제하는 데 효과적이었습니다. 그러나 오늘 그는 동일한 대역폭으로 다시 DOS 공격을 실행했지만 내 서버가 작동하지 않았습니다. 패킷을 캡처/분석했지만 iptables가 모든 패킷을 성공적으로 삭제했습니다.
또한 IP 테이블에 의해 차단된 트래픽의 양을 확인하기 위해 다음 명령을 실행했습니다.
iptables -nvL --line-numbers
22G 트래픽이 2~3일 동안 차단되었습니다.
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
3GB 트래픽만 차단되었습니다. 그러나 그는 하루 종일 우리 서버를 DOS로 처리했고 트래픽이 100GB가 넘었습니다(IMHO).
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
왜 서버가 계속 다운됐나요? 어떤 것들이 바뀔 수 있었나요? 그를 막기 위해 내가 할 수 있는 다른 규칙이나 보호 장치가 있습니까? 이미 그의 IP를 호스팅 회사에 보고했지만 조사를 통해 서버를 종료하는 데 7~8일이 소요됩니다.
답변1
호스트 기반 방화벽은 서비스를 보호할 수 있지만 문제가 되는 트래픽을 삭제하려면 먼저 호스트에 전달해야 합니다.
업링크는 여전히 유한한 리소스이므로 공격자가 보내는 쓰레기의 양이 증가하면 합법적인 트래픽에 해로운 영향을 미칠 위험이 커집니다. 귀하를 지원할 수 있는 경우 호스팅 제공업체에 문의할 수도 있습니다(네트워크 가장자리에 있을 수도 있음).