Alguém está fazendo o DOS no meu servidor. Não é um ataque DDOS, pois há apenas um servidor envolvido neste ataque. Eu simplesmente coloco seguindo a regra iptable para eliminar todos os pacotes que vêm do atacante:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP
Esta regra funcionou bem. Eu podia ver o tráfego dele chegando ao meu servidor usando o comando iftop. No entanto, todos os meus serviços estavam indo bem, mesmo sob ataque do DOS. Ele manteve a DOSAGEM do meu servidor por 2-3 dias, mas as regras do iptables funcionaram muito bem para deixar cair seus pacotes. No entanto, hoje ele executou novamente seu ataque DOS com a mesma largura de banda, mas meu servidor estava morto. Eu capturei / analisei pacotes, mas o iptables soltou com sucesso todos os pacotes.
Também corri o seguinte comando para ver quanto tráfego foi bloqueado por tabelas de IP:
iptables -nvL --line-numbers
O tráfego 22G foi bloqueado por 2 a 3 dias:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
Apenas o tráfego de 3GB foi bloqueado. No entanto, ele DOSed nosso servidor para todo o dia e havia mais de 100GB de tráfego (IMHO).
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
Por que o servidor ainda estava inoperante? Quais coisas poderiam ter sido mudadas? Existe alguma outra regra ou proteção que eu possa fazer para detê-lo? Eu já relatei seus IPs para a empresa de hospedagem, mas eles demoram de 7 a 8 dias para que a investigação feche seus servidores.
Um firewall baseado em host pode proteger seus serviços, mas o tráfego ofensivo ainda precisa ser entregue ao seu host antes que ele possa ser descartado.
Seu uplink ainda é um recurso finito e, se as quantidades de lixo que o invasor envia aumentar, o risco de afetar o tráfego legítimo também será prejudicial. Você pode entrar em contato com seu provedor de hospedagem se ele puder oferecer suporte (talvez na extremidade da rede).