我不断收到来自某个 IP 的流量。我检查了 Web 服务器日志,但什么也没发现。我使用 IP 表关闭了端口 80,但没有成功。
以下是我摘录的内容:
关闭80端口后的TCPDump:
... 16:29:58.352491 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 2165011454, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.354140 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1721916742, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.437774 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 363447977, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.524299 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 137986954, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.610422 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1651557377, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.695648 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1644752218, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.762889 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 708774106, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.781295 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1366521335, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.821036 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1828494182, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.866077 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 858654160, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.957206 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 497033597, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:59.040977 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 698028417, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 ...
我如何才能了解更多正在发生的事情?
答案1
iptables -t raw -A PREROUTING -p all -j ACCEPT ;
iptables -t raw -I PREROUTING -s iptoblock -p all -j DROP ;
iptables -I INPUT 1 -s iptoblock -p all -j DROP ;
用违规 IP 地址替换 iptoblock。如果有效请告诉我!
答案2
您可以通过允许客户端发送 SYN-ACK 来响应几个 SYN 数据包,从而确定源 IP 是否被欺骗。如果客户端使用有效的 ACK 数据包回复 SYN-ACK,则客户端 IP 没有被欺骗。
如果客户端 IP 被欺骗,那么您能做的事情就不多了。
如果客户端 IP 是真实的,你可以使用以下方法减慢速度拉布雷亚或类似工具。
但是,并不能保证这种方法会起作用,如果数据包的发送者忽略了您发回的所有回复(这对于 SYN 洪水来说是典型的情况),您能做的最好的事情就是使用 SYN cookie 来确保您的服务对合法用户仍然有效。