有人正在DOS我的服务器。 这不是一个DDOS攻击,因为只有一个服务器参与了这个攻击。 我简单地使用下面的iptable规则来删除所有来自攻击者的数据包:
iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP 这条规定一切正常。 我可以看到他的stream量使用iftop命令来到我的服务器。 但是,即使在DOS攻击下,我所有的服务也能顺利进行。 他不停地DOSING我的服务器2-3天,但iptables规则很好地放弃他的数据包。 但是,今天他又用同样的带宽再次运行DOS攻击,但是我的服务器已经死机。 我捕获/分析数据包,但iptables成功地丢弃了所有的数据包。
我也运行以下命令查看有多lessstream量被IP表阻塞:
iptables -nvL --line-numbers
22Gstream量被封锁了2-3天:
num pkts bytes target prot opt in out source destination 1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
只有3GB的stream量被阻止。 但是,他一整天都在使用我们的服务器,并且有超过100GB的stream量(恕我直言)。
num pkts bytes target prot opt in out source destination 1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
为什么服务器还在下? 什么事情可以改变? 我能做些什么来阻止他呢? 我已经向主机公司报告了他的IP,但他们需要7-8天的时间才能closures服务器。
基于主机的防火墙可能会保护您的服务,但是违规的stream量仍然需要传送到主机,才能被丢弃。
你的上行链路仍然是一个有限的资源,如果你的攻击者发送的垃圾数量增加,那么对合法stream量造成不利影响的风险也会增加。 如果他们可以支持你(也许在他们的networking边缘),你可能想联系你的托pipe服务提供商。