ipt regra e comando iftop

1

Alguém está inundando nosso servidor com pacotes UDP. Eu simplesmente coloco a regra iptable para bloquear esse IP. No entanto, quando executo o comando iftop, consigo ver um enorme tráfego chegando ao meu servidor. Quando eu olhei para o iptables para ver quanto tráfego ele bloqueou; mostra apenas que alguns MBs de dados foram bloqueados para esse IP específico. Não deveria mostrar que o tráfego do abraço foi bloqueado?

Quando analiso pacotes usando o tcpdump não vejo esse IP nos logs do tcpdump. Quando o iftop mostra tanto tráfego de entrada daquele ip, então por que o tcpdump não tem nenhum traço desse ip?

Eu bloqueei o IP usando a regra iptable: iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP

iftop está exibindo tráfego de x.ip-x-X-XX.net. Poderia ser esse o motivo, pois não é um IP? Eu tentei colocar este endereço na lista de bloqueio usando iptables mas iptable resolve-lo como endereço IP para bloqueá-lo.

Perguntas:

1 - Por que o iftop está mostrando tanto tráfego se o iptables o está bloqueando no meu servidor?

2 - Por que o iptables não está mostrando nenhum grande tráfego bloqueado se ele está tentando bloqueá-lo?

3 - Existe uma diferença entre o bloqueio de um IP e um endereço de domínio no iptables?

Atualizar

O tcpdump captura o tráfego. Eu estava executando o comando para eth0 enquanto o ataque estava na eth1.

tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
    
por Tweety 15.06.2015 / 21:44

1 resposta

1

Why iftop is showing so much traffic if iptables is blocking it to come inside my server?

Porque os utilitários pcap procuram capturar dados de uma interface antes que qualquer regra do netfilter (iptables) seja aplicada.

Sua regra de bloqueio do tráfego impedirá que o tráfego seja encaminhado ou processado por qualquer software em execução no servidor. O Netfilter não pode impedir que os pacotes cheguem ao seu sistema em primeiro lugar. Para isso, algum tipo de filtragem precisaria acontecer antes.

Is there a difference between blocking an IP and a domain address in iptables?

O Netfilter (iptables) opera principalmente na camada 3 no modelo de rede. Tudo o que sabe são endereços IP e portas. A ferramenta iptables, que adiciona as regras ao kernel (netfilter) tentará resolver o DNS por uma regra para você, mas isso acontece quando a regra é inserida no kernel.

    
por 15.06.2015 / 22:19