iptables… -j DROP, кажется, оставляет соединения открытыми?
Так что простите меня, если это глупый вопрос, я не большой специалист по сетям. Сервер друзей наводнен определенным IP-адресом, что довольно очевидно, если посмотреть на вывод tcptrace , так как есть сотни соединений с состоянием «СБРОС».
Я сделал очевидную вещь и заблокировал указанный IP-адрес с помощью iptables:
iptables -I INPUT -s <bad guy> -j DROP
Что, насколько я понимаю, должно помочь. Теперь вместо «RESET» соединения отображаются как «SYN_SENT» в tcptrace , что для меня не имеет смысла.
Я что-то упускаю? Нужно ли мне предпринимать какие-то дополнительные действия, чтобы ядро полностью разорвало соединение?
РЕДАКТИРОВАТЬ:
Дополнительная странность заключается в том, что ни с использованием правила iptables, ни без него не обнаруживаются какие-либо странные соединения с ] netstat -tuna (мне нравится эта команда), которую я читал несколько раз, быть не должно.
Что, насколько я понимаю, должно помочь. Теперь вместо «RESET» соединения отображаются в tcptrace как «SYN_SENT», что для меня не имеет смысла.
Важная вещь, которую нужно помнить о большинстве инструментов на основе pcap, заключается в том, что pcap обычно захватывает более низкие уровни сетевого стека ядра, чем любой код netfilter. Таким образом, пакет, который вы сбросили с помощью iptables, все равно поступит на интерфейс и будет захвачен.
Вы видите пакеты SYN трафика в вашем захвате, но они, вероятно, не передаются ни на что другое в системе. при условии, что ваше правило правильно соответствует трафику. Посмотрите на счетчики ( iptables -nvL ) для правила для двойной проверки.
с правилом iptables или без него, обнаруживаются ли какие-либо странные соединения с помощью netstat -тунец
При наличии правила мы, очевидно, ничего не ожидаем увидеть, так что это не слишком удивительно. Не уверен, почему вы ничего не видели без правила. Хотя я, вероятно, использовал бы ss -nut вместо netstat.