누군가가 우리 서버에 UDP 패킷을 넘치게 하고 있습니다. 해당 IP를 차단하기 위해 iptable 규칙을 적용했습니다. 그러나 iftop 명령을 실행하면 내 서버로 엄청난 양의 트래픽이 들어오는 것을 볼 수 있습니다. 얼마나 많은 트래픽이 차단되었는지 확인하기 위해 iptables를 찾았을 때; 해당 특정 IP에 대해 일부 MB의 데이터가 차단되었음을 표시합니다. 허그 트래픽이 차단되었다고 표시하면 안 되나요?
tcpdump를 사용하여 패킷을 분석할 때 tcpdump 로그에 해당 IP가 표시되지 않습니다. iftop이 해당 IP로부터 너무 많은 인바운드 트래픽을 표시하는 경우 tcpdump에 해당 IP에 대한 흔적이 없는 이유는 무엇입니까?
iptable 규칙을 사용하여 IP를 차단했습니다: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop은 x.ip-xX-XX.net의 트래픽을 표시합니다. IP가 아니기 때문에 이런 이유가 있을까요? iptables를 사용하여 이 주소를 차단 목록에 넣으려고 했지만 iptable은 이를 IP 주소로 확인하여 차단합니다.
질문:
1 - iptables가 내 서버 내부로 들어오는 것을 차단하고 있는데 iftop이 너무 많은 트래픽을 표시하는 이유는 무엇입니까?
2 - iptables가 차단을 시도하는 경우 차단된 트래픽이 크게 표시되지 않는 이유는 무엇입니까?
3 - iptables에서 IP와 도메인 주소를 차단하는 것 사이에 차이점이 있습니까?
업데이트
tcpdump는 트래픽을 캡처합니다. eth1에 대한 공격이 진행되는 동안 저는 eth0에 대한 명령을 실행하고 있었습니다.
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
답변1
iptables가 내 서버 내부로 들어오는 트래픽을 차단하고 있는데 iftop이 너무 많은 트래픽을 표시하는 이유는 무엇입니까?
pcap 유틸리티는 netfilter(iptables) 규칙이 적용되기 전에 인터페이스에서 데이터를 캡처하는 것으로 보입니다.
트래픽을 차단하는 규칙은 해당 트래픽이 서버에서 실행되는 소프트웨어에 의해 전달되거나 처리되는 것을 방지합니다. Netfilter는 처음부터 패킷이 시스템에 도달하는 것을 막을 수 없습니다. 이를 위해서는 일종의 필터링이 업스트림에서 발생해야 합니다.
iptables에서 IP와 도메인 주소를 차단하는 것에는 차이가 있나요?
Netfilter(iptables)는 주로 네트워크 모델의 계층 3에서 작동합니다. 알고 있는 것은 IP 주소와 포트뿐입니다. 커널(netfilter)에 규칙을 추가하는 iptables 도구는 규칙에 대한 DNS 확인을 시도하지만 이는 규칙이 커널에 삽입될 때 발생합니다.