服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在iptables中使用tcpdump?
Intereting Posts
IIS8:多个站点指向相同的物理文件夹,但每个都有不同的PHP版本 yum与Red Hat Network Subscription在rhel Docker镜像中如何工作? x86 Media Server上保护Exchange 2007的Backup Exec 2010 如何知道什么使这台服务器变慢 DNS始终获得非权威答案 为机会TLS设置Windows Server 2008 R2 SMTP Apache访问日志 – 请求URL不属于我的网站 批处理 – Ping IP并在返回时执行不同的命令 如何自动启动一个多用户屏幕会话与添加acl到另一个用户? 在Plesk结算会议 在允许DHCP的情况下,如何阻止桥接接口的所有stream量? nginx是否停止发送stream量到无响应的PHP服务器? 使用命令行恢复Windows机器上的MySQL数据库转储 针对混合tcp,udp和http服务的反向代理 OnlyOffice:端口转发

在iptables中使用tcpdump?

我使用iptables来阻止我的服务器上的不同types的攻击。 我们有不同的规则和不同的费率限制规则。 现在我还使用一个脚本,如果它大于10mb / s,将会观察阈值,并将所有数据包转储到文件中。 此脚本始终在屏幕会话中始终运行,并使用以下命令来转储: 

tcpdump -nn -s0 -c 2000 -w Attack.cap sleep 300

一旦被攻击,它会等待5分钟来检查另一次攻击(睡眠300)。 现在我怀疑是否在数据包捕获过程中,iptables仍然工作,因为在/ var / messages我看到行像“eth0进入混杂模式”和“eth0离开混杂模式”,所以它可能会超过iptables?

http://en.wikipedia.org/wiki/Promiscuous_mode

在计算机联网中,混杂模式或promisc模式是有线networking接口控制器(NIC)或无线networking接口控制器(WNIC)的一种模式,它使控制器将接收到的所有stream量传递给中央处理单元(CPU)只有控制器打算接收的帧。

这不会绕过任何一种防火墙。

尝试使用该命令 

  tcpdump -i eth0 -p nn -s0 -c 2000 -w Attack.cap

默认情况下, tcpdump会将界面置于混杂模式。 为了你的目的,我不相信你在做什么需要混杂的模式。 指定接口可以防止tcpdumpfind它,并可能得到错误的接口。

tcpdump在被iptables防火墙iptables之前抓取原始数据包,这样你就可以看到被防火墙丢弃或拒绝的数据包。