Eu uso o iptables para bloquear diferentes tipos de ataques no meu servidor. Temos um conjunto diferente de regras, além de regras de limite de taxa diferentes. Agora eu também uso um script que observaria o limite se ele fosse maior que 10mb / se despejaria todos os pacotes em um arquivo. Esse script continua sendo executado o tempo todo em uma sessão de tela e usa o seguinte comando para despejar:
tcpdump -nn -s0 -c 2000 -w Attack.cap
sleep 300
Uma vez atacada, aguarda 5 minutos para checar outro ataque (dormir 300). Agora duvido que durante o processo de captura de pacotes, o iptables ainda funcione porque em / var / messages vejo linhas como "eth0 entrou em modo promíscuo" e "eth0 deixou o modo promíscuo" para que ele possa se sobrepor ao iptables?
In computer networking, promiscuous mode or promisc mode is a mode for a wired network interface controller (NIC) or wireless network interface controller (WNIC) that causes the controller to pass all traffic it receives to the central processing unit (CPU) rather than passing only the frames that the controller is intended to receive.
Isso não ignora nenhum tipo de firewall.
Tente usar o comando
tcpdump -i eth0 -p nn -s0 -c 2000 -w Attack.cap
Por padrão, tcpdump colocará a interface no modo promíscuo. Para seus propósitos, não acredito que você precise de um modo promíscuo para o que está fazendo. Especificar a inteface impede que tcpdump procure por ela e, possivelmente, obtenha a interface errada.
tcpdump pega os pacotes brutos antes que eles obtenham o firewall por iptables , para que você possa ver os pacotes que são descartados ou rejeitados pelo firewall.