Alguém está inundando nosso servidor com pacotes UDP. Simplesmente coloquei a regra iptable para bloquear esse IP. No entanto, quando executo o comando iftop, vejo um tráfego enorme chegando ao meu servidor. Quando procurei o iptables para ver quanto tráfego ele bloqueou; mostra apenas que alguns MBs de dados foram bloqueados para esse IP específico. Não deveria mostrar que o tráfego de abraços foi bloqueado?
Quando analiso pacotes usando o tcpdump, não vejo esse IP nos logs do tcpdump. Quando o iftop mostra tanto tráfego de entrada desse IP, por que o tcpdump não tem nenhum vestígio desse IP?
Bloqueei o IP usando a regra iptable: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop está mostrando o tráfego de x.ip-xX-XX.net. Poderia ser esse o motivo, já que não é um IP? Tentei colocar esse endereço na lista de bloqueios usando iptables, mas o iptable resolve como endereço IP para bloqueá-lo.
Questões:
1 - Por que o iftop está mostrando tanto tráfego se o iptables está bloqueando a entrada dele no meu servidor?
2 - Por que o iptables não mostra nenhum grande tráfego bloqueado se está tentando bloqueá-lo?
3 - Existe diferença entre bloquear um IP e um endereço de domínio no iptables?
Atualizar
tcpdump captura o tráfego. Eu estava executando o comando para eth0 enquanto o ataque estava na eth1.
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
Responder1
Por que o iftop está mostrando tanto tráfego se o iptables está bloqueando sua entrada no meu servidor?
Porque os utilitários pcap procuram capturar dados de uma interface antes que qualquer regra do netfilter (iptables) seja aplicada.
Sua regra de bloqueio do tráfego impedirá que o tráfego seja encaminhado ou processado por qualquer software em execução no servidor. Em primeiro lugar, o Netfilter não pode impedir que os pacotes cheguem ao seu sistema. Para isso, algum tipo de filtragem precisaria acontecer no upstream.
Existe alguma diferença entre bloquear um IP e um endereço de domínio no iptables?
Netfilter(iptables) opera principalmente na camada 3 do modelo de rede. Tudo o que sabe são endereços IP e portas. A ferramenta iptables, que adiciona as regras ao kernel (netfilter) tentará resolver o DNS de uma regra para você, mas isso acontece quando a regra é inserida no kernel.