有人正在攻擊我的伺服器。這不是 DDOS 攻擊,因為此攻擊只涉及一台伺服器。我只是簡單地設定以下 iptable 規則來丟棄來自攻擊者的所有資料包:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
這條規則一切順利。我可以使用 iftop 指令看到他的流量來到我的伺服器。然而,即使在 DOS 攻擊下,我的所有服務也能順利進行。他連續 2-3 天對我的伺服器進行 DOS 操作,但 iptables 規則非常有效地丟棄了他的資料包。然而,今天他用相同的頻寬再次進行了 DOS 攻擊,但我的伺服器死了。我捕獲/分析了資料包,但 iptables 成功丟棄了所有資料包。
我還運行了以下命令來查看 IP 表阻止了多少流量:
iptables -nvL --line-numbers
22G流量封鎖2-3天:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
僅 3GB 流量被阻止。然而,他一整天都對我們的伺服器進行了 DOS,並且流量超過了 100GB(恕我直言)。
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
為什麼伺服器還掛了?哪些事情可以改變?我可以採取其他規則或保護措施來阻止他嗎?我已經向託管公司報告了他的 IP,但他們需要 7-8 天的時間進行調查才能關閉他的伺服器。
答案1
基於主機的防火牆可能會保護您的服務,但違規流量仍需要先傳送到您的主機,然後才能丟棄。
您的上行鏈路仍然是有限的資源,如果攻擊者發送的垃圾量增加,那麼對合法流量造成有害影響的風險也會增加。如果您的託管提供者可以支援您(可能在其網路邊緣),您可能需要聯絡他們。