有人正在用 UDP 封包淹沒我們的伺服器。我只是簡單地設定 iptable 規則來阻止該 IP。但是,當我運行 iftop 命令時,我可以看到大量流量進入我的伺服器。當我查找 iptables 以查看它阻止了多少流量時;它僅顯示該特定 IP 的部分 MB 資料已被封鎖。不是應該顯示擁抱流量已被阻止嗎?
當我使用 tcpdump 分析封包時,我在 tcpdump 日誌中沒有看到該 IP。當 iftop 顯示來自該 ip 的入站流量如此之多時,為什麼 tcpdump 沒有該 ip 的任何踪跡?
我已經使用 iptable 規則阻止了 IP: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop 顯示來自 x.ip-xX-XX.net 的流量。這可能是因為它不是IP的原因嗎?我嘗試使用 iptables 將此位址放入封鎖清單中,但 iptable 將其解析為 IP 位址以封鎖它。
問題:
1 - 如果 iptables 阻止 iftop 進入我的伺服器,為什麼 iftop 會顯示如此多的流量?
2 - 如果 iptables 試圖阻止流量,為什麼它沒有顯示任何巨大的阻止流量?
3 - iptables 中阻止 IP 和網域位址有差別嗎?
更新
tcpdump 確實捕獲流量。當攻擊發生在 eth1 上時,我正在為 eth0 執行命令。
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
答案1
如果 iptables 阻止 iftop 進入我的伺服器,為什麼 iftop 會顯示如此多的流量?
因為 pcap 實用程式會在應用任何 netfilter(iptables) 規則之前從介面擷取資料。
您封鎖流量的規則將阻止該流量被轉送或由伺服器上執行的任何軟體處理。 Netfilter 無法從一開始就阻止封包進入您的系統。為此,需要在上游進行某種過濾。
iptables 中封鎖 IP 和網域位址有差別嗎?
Netfilter(iptables) 主要運行在網路模型的第 3 層。它所知道的只是 IP 位址和連接埠。將規則新增至核心 (netfilter) 的 iptables 工具將嘗試為您解析規則的 DNS,但這種情況發生在規則插入核心時。