有人用UDP数据包泛滥我们的服务器。 我只是把iptable规则阻止该IP。 但是,当我运行iftop命令,我可以看到一个巨大的stream量来到我的服务器。 当我查找iptables,查看它阻塞了多lessstream量; 它只显示一些MB的数据已经被封锁了那个特定的IP。 它不应该显示拥抱的交通已被阻止?
当我使用tcpdump分析数据包时,我没有在tcpdump日志中看到这个IP。 当iftop从那个ip显示很多入站stream量时,为什么tcpdump没有这个ip的任何跟踪?
我使用iptable规则阻止了IP:iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP
iftop显示来自x.ip-xX-XX.net的stream量。 这可能是因为它不是一个IP? 我试图把这个地址使用iptables阻止列表,但iptableparsing为ip地址来阻止它。
1 – 为什么iftop显示如此多的stream量,如果iptables阻止它进入我的服务器?
2 – 为什么iptables没有显示任何巨大阻塞的stream量,如果它试图阻止它?
3 – 阻止一个IP和一个域名地址在iptables之间有区别吗?
tcpdump确实捕获stream量。 我在eth1上运行eth0命令。
tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap 为什么iftop显示如此多的stream量,如果iptables阻止它进入我的服务器?
因为pcap实用程序在应用任何netfilter(iptables)规则之前都会从界面中查看捕获数据。
阻止stream量的规则将阻止stream量被转发,或者被运行在服务器上的任何软件处理。 Netfilter首先不能阻止数据包进入系统。 为此,需要在上游进行某种过滤。
在iptables中阻止一个IP和一个域名地址有区别吗?
Netfilter(iptables)主要在networking模型的第3层工作。 它只知道IP地址和端口。 将规则添加到内核(netfilter)中的iptables工具将尝试为您parsingDNS的规则,但在规则插入内核时发生这种情况。