即使跑完了
iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j DROP 我一直在tcpdump上获取ICMPtypes3的代码13数据包。 当我运行tcpdump icmp ,我收到如下消息:
19:41:31.923630 IP NAMESOURCE > MY_NAME: ICMP net IP_SOURCE unreachable, length 76
我的问题是,我怎样才能摆脱这个数据包?
顺便说一句,我从多个来源得到这个数据包,这导致我认为这可能是某种(D)DoS。 但我不确定我在这个angular色上扮演着什么angular色。
此外,snort不断发出警报:
[**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**] [Classification: Misc activity] [Priority: 3] 05/02-19:44:20.171298 SOURCE_IP -> MY_IP ICMP TTL:238 TOS:0x0 ID:13584 IpLen:20 DgmLen:56 Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED, PACKET FILTERED ** ORIGINAL DATAGRAM DUMP: MY_IP:47541 -> SOURCE_IP:8080 TCP TTL:47 TOS:0x0 ID:22750 IpLen:20 DgmLen:60 DF Seq: 0x5EB7CF7A ** END OF DUMP
我会冒险猜测(难以确定没有更多的调查),有人欺骗你的IP作为来源,你正在得到回报stream量。
请记住, tcpdump会检查“wire”(即,BEFORE iptables),所以即使iptables正在丢弃stream量,您仍然会看到tcpdump中的stream量。
你不能阻止你的数据包(你的提供者需要这样做),你所能做的就是放弃这些数据包,尽量减less对主机的影响。
请记住, iptables规则是按给定的顺序处理的,所以如果链在它到达规则之前返回,它将不会有效果。
要小心,ICMP对于“networking”的工作是至关重要的,它用来告诉你某些连接在一长串其他错误信息中不起作用。 通过ICMP来淹没任何合理的机器将会从歹徒中获得相当的智慧,不要太担心。