我已经阻止了向我发送大量 UDP 数据包的攻击者 IP。
iptables -I 输入 1 -s IP_OF_ATTACKER -j DROP
这条规则运行良好。
iptables -nvL --line-numbers
22G流量被封了2-3天:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
但是,从最近 2-3 天开始,此规则不再起作用。攻击者正在发送 UDP 数据包,而 iptables 并未阻止它们。
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
可能是什么原因?
附言:请不要建议联系托管服务提供商,如果他们能提供任何帮助,我就不会在这里:)
编辑
我使用 wireshark/tcpdump 分析/捕获数据包。它显示所有数据包都是 UDP。我使用 iptables 命令(如上所述)查看 iptables 规则阻止了多少数据。以上是 iptables 阻止数据的输出。当 iptable 阻止所有数据时,我们的服务器运行正常。
**IP Table rules**
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*raw
:PREROUTING ACCEPT [8393:667810]
:OUTPUT ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*nat
:PREROUTING ACCEPT [2517:112725]
:INPUT ACCEPT [2517:112725]
:OUTPUT ACCEPT [1018:179752]
:POSTROUTING ACCEPT [1018:179752]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*mangle
:PREROUTING ACCEPT [8393:667810]
:INPUT ACCEPT [8393:667810]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7043:795032]
:POSTROUTING ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*filter
:INPUT ACCEPT [23:1500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:2068]
:fail2ban-ssh - [0:0]
-A INPUT -s xx.xxx.xx.xx/32 -j DROP
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
答案1
我不完全理解您的 iptables 列表,也不知道它是如何形成的。但是,似乎确实存在 nat 和 mangle 表,因此完全可以想象您的问题数据包不会遍历正常的 INPUT 链,而是在预路由阶段通过另一条路径直接通过 iptables(顺便说一下,每个连接只会遍历一次)。您可以尝试添加:
sudo iptables -t raw -A PREROUTING -s IP_OF_ATTACKER -j DROP
我在我的测试电脑上这样做了,看起来运行良好:
$ sudo iptables-save -c
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*raw
:PREROUTING ACCEPT [40:2664]
:OUTPUT ACCEPT [33:4520]
[31:2696] -A PREROUTING -s 192.168.111.103/32 -j DROP
COMMIT
# Completed on Tue Jun 16 11:12:51 2015
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*nat
:PREROUTING ACCEPT [15:1344]
...
注:我在你的Ubuntu 论坛发帖。