有人对我的服务器实施 DOS 攻击。这不是 DDOS 攻击,因为只有一台服务器参与了此攻击。我只是设置了以下 iptable 规则来丢弃来自攻击者的所有数据包:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
这条规则运行得很好。我可以使用 iftop 命令查看他的流量进入我的服务器。但是,即使在遭受 DOS 攻击的情况下,我的所有服务都运行顺利。他连续 2-3 天对我的服务器进行 DOS 攻击,但 iptables 规则非常有效,可以丢弃他的数据包。然而,今天他再次使用相同的带宽进行 DOS 攻击,但我的服务器已崩溃。我捕获/分析了数据包,但 iptables 成功丢弃了所有数据包。
我还运行了以下命令来查看 IP 表阻止了多少流量:
iptables -nvL --line-numbers
22G流量被封了2-3天:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
仅阻止了 3GB 的流量。但是,他对我们的服务器进行了一整天的 DOS 攻击,流量超过了 100GB(恕我直言)。
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
为什么服务器仍然瘫痪?哪些东西可以更改?我还能制定其他规则或保护措施来阻止他吗?我已经将他的 IP 报告给了托管公司,但他们需要 7-8 天的时间进行调查才能关闭他的服务器。
答案1
基于主机的防火墙可能会保护您的服务,但是有问题的流量仍然需要传送到您的主机才能被丢弃。
您的上行链路仍是有限资源,如果攻击者发送的垃圾量增加,对合法流量造成不利影响的风险也会增加。您可能希望联系您的托管服务提供商,看他们是否能够为您提供支持(可能在其网络边缘)。