Alguém está fazendo DOS em meu servidor. Não é um ataque DDOS porque há apenas um servidor envolvido neste ataque. Simplesmente coloquei a seguinte regra do iptable para descartar todos os pacotes vindos do invasor:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
Esta regra funcionou bem. Pude ver o tráfego dele chegando ao meu servidor usando o comando iftop. No entanto, todos os meus serviços estavam funcionando perfeitamente, mesmo sob ataque do DOS. Ele manteve DOSANDO meu servidor por 2 a 3 dias, mas as regras do iptables funcionaram muito bem para descartar seus pacotes. No entanto, hoje ele executou seu ataque DOS novamente com a mesma largura de banda, mas meu servidor estava morto. Capturei/analisei pacotes, mas o iptables eliminou com sucesso todos os pacotes.
Também executei o seguinte comando para ver quanto tráfego foi bloqueado pelas tabelas IP:
iptables -nvL --line-numbers
O tráfego 22G foi bloqueado por 2 a 3 dias:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
Apenas o tráfego de 3 GB foi bloqueado. No entanto, ele fez DOS em nosso servidor durante todo o dia e houve mais de 100 GB de tráfego (IMHO).
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
Por que o servidor ainda estava inativo? Que coisas poderiam ter sido mudadas? Existe alguma outra regra ou proteção que eu possa fazer para detê-lo? Já relatei seus IPs à empresa de hospedagem, mas eles levam de 7 a 8 dias para que a investigação desligue seus servidores.
Responder1
Um firewall baseado em host pode proteger seus serviços, mas o tráfego agressor ainda precisa ser entregue ao seu host antes de ser descartado.
Seu uplink ainda é um recurso finito e se a quantidade de lixo que seu invasor envia aumentar, também aumentará o risco de um efeito prejudicial no tráfego legítimo. Você pode entrar em contato com seu provedor de hospedagem se ele puder apoiá-lo (talvez na extremidade da rede).