服务器 Gind.cn
  1. 服务器 Gind.cn
  3. FreeBSD的ipfw没有像预期的那样阻止攻击stream量
Intereting Posts
logrotate如何与硬链接文件交互? 密码需要预先和后缀 Nginx从variables中删除字符 在卸载_netdev文件系统之前,OEL 7.2与LACP systemdclosures联网 错误,当我安装MySQL +加莱拉 SQL Server 2000:数据库复制向导 – 声明文件已经存在(他们不)或没有足够的磁盘空间(有) 什么GPO设置将允许非pipe理员用户添加无线打印机 如果在下次login时更改密码,Mac RDP客户端连接到Server 2008时出现问题 我如何知道谁使用SSL上的POP3 / SMTP / IMAP,谁不是? SCCM 2007 R2 Win 7部署客户端WinPE启动后重新启动 Windows 2003服务:禁用消息“无法写入内存” 将RHEL保持在特定的小修订级别? 如何生成一个启动 – 停止守护进程的命令,如果在超时期限内没有任何条件,将会终止进程? 更新和删除java(红帽/ centos)(closures) 通过SSH连接拒绝“sh”访问

FreeBSD的ipfw没有像预期的那样阻止攻击stream量

我的服务器被SSHguard导致SSHguard超载,它不能够快速添加规则。 因此,像这样的行被写入控制台: 

 ipfw: ipfw_install_state: add parent failed

我查看了tcpdump输出,并确定了一些IP数据包以过高的速率发送数据包,并添加了我期望阻止它们的ipfw规则。 但是,它看起来像ipfw完全忽略规则。

这是我在我的ipfw.rules的开始: 

 # Flush all rules before we begin. ipfw -q -f flush # Set rules command prefix cmd="ipfw -q add " # interface name of NIC attached to Internet if0="re0" $cmd 00002 deny all from 173.68.0.0/16 to any via $if0

这是我希望被阻止的一些stream量(我的域名在这里被编辑): 

 11:37:13.044882 IP pool-173-68-25-180.nycmny.fios.verizon.net.32833 > example.com.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.045134 IP pool-173-68-25-86.nycmny.fios.verizon.net.7839 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.045606 IP pool-173-68-25-72.nycmny.fios.verizon.net.30920 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.046964 IP pool-173-68-25-118.nycmny.fios.verizon.net.26615 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.047560 IP pool-173-68-25-68.nycmny.fios.verizon.net.58940 > example.com.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.047854 IP pool-173-68-25-80.nycmny.fios.verizon.net.26410 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.048870 IP pool-173-68-25-52.nycmny.fios.verizon.net.31944 > example.com.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.048942 IP pool-173-68-25-170.nycmny.fios.verizon.net.20492 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.053217 IP pool-173-68-25-138.nycmny.fios.verizon.net.43959 > example.com.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.053289 IP pool-173-68-25-15.nycmny.fios.verizon.net.51797 > example.com.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.053790 IP pool-173-68-25-207.nycmny.fios.verizon.net.1603 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.053947 IP pool-173-68-25-126.nycmny.fios.verizon.net.63928 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40) 11:37:13.056090 IP pool-173-68-25-172.nycmny.fios.verizon.net.59782 > Dreamer.domain: 1+ [1au] TXT? mpaaweb.com. (40)

我的过滤规则有什么问题吗? 他们似乎在早些时候工作 – 但也可能是当我编辑ipfw.rules文件时攻击者切换到不同的IP范围 – 每当我看,有更多的IP地址被使用。 

 # uname -a FreeBSD Dreamer 10.3-RELEASE-p16 FreeBSD 10.3-RELEASE-p16 #2: Fri Mar 3 05:28:31 EST 2017 [email protected]:/usr/obj/usr/src/sys/GENERIC amd64

TL; DR

我抬头看了看mpaaweb.com因为他们似乎在所有这些过量的stream量中被提及,并且我从2010年发现了一篇关于4chan击中MPAA(美国电影协会)网站的DDoS攻击文章。 这让我觉得有人正在尝试将我的服务器用作DDoS机器的一部分。 如果是这样的话,我该怎么找?