Кто-то заваливает наш сервер пакетами UDP. Я просто установил правило iptable, чтобы заблокировать этот IP. Однако, когда я запускаю команду iftop, я вижу огромный трафик, поступающий на мой сервер. Когда я искал iptables, чтобы узнать, сколько трафика он заблокировал, он показал только несколько МБ данных, заблокированных для этого конкретного IP. Разве он не должен показывать, что заблокирован огромный трафик?
Когда я анализирую пакеты с помощью tcpdump, я не вижу этот IP в журналах tcpdump. Если iftop показывает так много входящего трафика с этого ip, то почему tcpdump не имеет никаких следов этого ip?
Я заблокировал IP с помощью правила iptable: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop показывает трафик с x.ip-xX-XX.net. Может ли это быть причиной, так как это не IP? Я пытался поместить этот адрес в черный список с помощью iptables, но iptable разрешает его как ip-адрес, чтобы заблокировать его.
Вопросы:
1 - Почему iftop показывает так много трафика, если iptables блокирует его попадание на мой сервер?
2 - Почему iptables не показывает большой заблокированный трафик, хотя пытается его заблокировать?
3 - Есть ли разница между блокировкой IP-адреса и доменного адреса в iptables?
Обновлять
tcpdump захватывает трафик. Я запускал команду для eth0, пока атака была на eth1.
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
решение1
Почему iftop показывает так много трафика, если iptables блокирует его попадание на мой сервер?
Потому что утилиты pcap захватывают данные с интерфейса до того, как будут применены какие-либо правила netfilter(iptables).
Ваше правило, блокирующее трафик, не позволит этому трафику пересылаться или обрабатываться любым программным обеспечением, запущенным на сервере. Netfilter не может остановить пакеты от попадания в вашу систему в первую очередь. Для этого необходимо будет выполнить некоторую фильтрацию вверх по течению.
Есть ли разница между блокировкой IP-адреса и доменного адреса в iptables?
Netfilter(iptables) в основном работает на уровне 3 в сетевой модели. Все, что он знает, это IP-адреса и порты. Инструмент iptables, который добавляет правила в ядро (netfilter), попытается разрешить DNS для правила для вас, но это происходит, когда правило вставляется в ядро.