Кто-то DOSит мой сервер. Это не DDOS-атака, так как в этой атаке участвует только один сервер. Я просто устанавливаю следующее правило iptable, чтобы отбрасывать все пакеты, исходящие от атакующего:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
Это правило работало отлично. Я мог видеть, как его трафик поступает на мой сервер, используя команду iftop. Однако все мои сервисы работали гладко даже под атакой DOS. Он продолжал DOSING моего сервера в течение 2-3 дней, но правила iptables отлично сработали, чтобы отбросить его пакеты. Однако сегодня он снова запустил свою атаку DOS с той же пропускной способностью, но мой сервер был мертв. Я перехватил/проанализировал пакеты, но iptables успешно отбросил все пакеты.
Я также выполнил следующую команду, чтобы увидеть, какой объем трафика был заблокирован таблицами IP:
iptables -nvL --line-numbers
Трафик 22G был заблокирован на 2-3 дня:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
Заблокировано было всего 3 Гб трафика. Однако он весь день досилил наш сервер и трафика было больше 100 Гб (ИМХО).
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
Почему сервер все еще не работал? Что можно было изменить? Есть ли еще какие-то правила или меры защиты, которые я могу принять, чтобы остановить его? Я уже сообщил его IP-адреса хостинговой компании, но им требуется 7-8 дней на расследование, чтобы закрыть его серверы.
решение1
Хостовый брандмауэр может защитить ваши сервисы, но вредоносный трафик все равно должен быть доставлен на ваш хост, прежде чем он будет отброшен.
Ваш восходящий канал все еще является конечным ресурсом, и если количество мусора, которое отправляет ваш злоумышленник, увеличивается, то увеличивается и риск пагубного воздействия на законный трафик. Вы можете связаться с вашим хостинг-провайдером, если он может оказать вам поддержку (возможно, на границе своей сети).