блокирование ip-атаки udp с помощью iptables [дубликат]
На этот вопрос уже есть ответ:
- Я нахожусь под DDoS. Что я могу сделать? 5 ответов
Я пытался заблокировать IP-адрес (сетевой инструмент stresser - сайты ddos, продающие ddos-ботов за несколько секунд в Интернете) первый, который я пытался заблокировать с помощью iptables:
iptables -A INPUT -d 173.193.26.73 -j DROP
iptables -A INPUT -s 173.193.26.73 -j DROP
однако я все еще вижу, что ip и пропускная способность на iftop все еще увеличены. также все еще вижу ip, идущий на tcpdump.
это нормально? в чем проблема?
Да, это нормально. iptables не останавливает входящий трафик, возникающий на вашем физическом интерфейсе, таким образом, зазубривая счетчик вашего iftop, и не останавливает ядро, видя, что оно там, отсюда и вывод tcpdump. Однако, он останавливает ядро, передающее трафик на все, что может его прослушивать.
Если вы видите любой трафик на выходе в ответ на эти входные пакеты, что-то не так. Но в остальном, нет, это нормально.
Как уже упоминал MadHatter...
Пакеты все еще физически передаются в вашу систему, iptables просто отфильтровывает их, прежде чем они попадут туда, куда хочет отправитель.
Однако....
Есть несколько вещей, которые вы можете сделать, чтобы решить основную проблему:
Поставьте маршрутизатор между вашей машиной и внешним миром, который делает фильтрацию за вас и прозрачно пересылает все остальные пакеты.
Маршрутизаторы оптимизированы для такого рода операций, так что, как первая линия защиты, это, конечно же, не плохая идея. Хотя вы захотите поддерживать прошивку в актуальном состоянии, если она сама этого не делает.
Конечно, вы также захотите изменить DNS-запись на сервер обхода отказа (если вас беспокоит время простоя, которое, скорее всего, вас беспокоит), пока вы подключаете маршрутизатор и следите за тем, чтобы он делал то, что вы хотите, чтобы он выполнял свою работу.
Используйте
-I, а не-A; таким образом, правила блокирования будут обработаны первыми, и ваш процессор не будет прожигать столько циклов проверки пакетов, сколько вы сразу же знаете, что это ужасно против всех остальных правил.Если сайт пытается сделать вам DoS, я полагаю, что они представляют собой значительный источник трафика, и если это так, то правила, которые к ним применяются, должны быть обработаны раньше. Хорошее эмпирическое правило состоит в том, чтобы упорядочить правила в зависимости от того, насколько вероятным является событие. Чем более вероятным является сетевое событие, тем раньше с ним нужно разобраться.
Конечно, это также должно быть взвешено с учетом сложности обработки сетевого события (т.е. если событие A в два раза более вероятно, чем событие B, но требует 300-кратной обработки, то правила для события B, вероятно, должны идти первыми), но в случае пары правил падения для сайта, который пытается сделать DoS, это, вероятно, безопасная ставка.
Одним из способов предотвращения того, чтобы набор правил iptables становился слишком громоздким, является создание новых цепочек для обработки каждого типа трафика (например, цепочка для обработки попыток частных сетевых соединений, цепочка для обработки ssh дросселирования и т.д.) таким образом, чтобы цепочка INPUT (которую можно рассматривать как
mainметод, если у вас есть программный фон) просто вызывала другие цепочки, чтобы выполнить обработку. Так что, если вы хотите поэкспериментировать с новыми правилами или изменить порядок обработки для различных событий, вам нужно только изменить порядок безусловных прыжков в INPUT.Проверьте условия работы их провайдеров и, если они нарушают их, сообщите их провайдеру (быть настолько конкретными, насколько это возможно, о том, как они нарушаются; вы захотите предоставить рекомендации, и вы захотите прийти к выводу, как вежливый и профессиональный. Если вы нравитесь человеку, который получает вашу электронную почту, и вы облегчаете ему работу, вы с большей вероятностью получите результат).