Я заблокировал IP взломщика, который отправлял мне много пакетов UDP.
iptables-I ВВОДЯТ 1 с IP_OF_ATTACKER-j ОТБРАСЫВАНИЕ
Это правило работало весь штраф.
iptables -nvL --line-numbers
22G трафик был заблокирован в течение 2-3 дней:
num pkts bytes target prot opt in out source destination
1 3203K 22G DROP all -- * * ATTACKER_IP 0.0.0.0/0
Однако с прошлых 2-3 дней, это правило не работает больше. Взломщик отправляет пакеты UDP, и iptables не блокируют их.
num pkts bytes target prot opt in out source destination
1 707K 3553M DROP all -- * * ATTACKER_IP 0.0.0.0/0
Какова могла быть причина?
PS: не предлагайте о контакте с поставщиком услуг хостинга, если бы они были какой-либо справкой, то я не был бы здесь :)
Я использовал wireshark/tcpdump для анализирования/получения пакетов. Это показывает, что всеми пакетами является UDP. Я использую команду iptables (как упомянуто выше) для наблюдения, сколько данных iptables правило заблокировалось. Выше вывод iptables сблокированных данных. Когда iptable блокировал все данные, наш сервер работал весь штраф.
**IP Table rules**
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*raw
:PREROUTING ACCEPT [8393:667810]
:OUTPUT ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*nat
:PREROUTING ACCEPT [2517:112725]
:INPUT ACCEPT [2517:112725]
:OUTPUT ACCEPT [1018:179752]
:POSTROUTING ACCEPT [1018:179752]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*mangle
:PREROUTING ACCEPT [8393:667810]
:INPUT ACCEPT [8393:667810]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7043:795032]
:POSTROUTING ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*filter
:INPUT ACCEPT [23:1500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:2068]
:fail2ban-ssh - [0:0]
-A INPUT -s xx.xxx.xx.xx/32 -j DROP
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
Я не полностью понимаю Ваш список iptables, или как это оказалось так. Однако там, кажется, является туземным и искажает таблицы, и поэтому совершенно возможно, что Ваши проблемные пакеты не пересекают нормальную ВХОДНУЮ цепочку, а скорее направлены через iptables через другой путь на этапе перед маршрутизацией (который был бы только пересечен однажды для каждого подключения, между прочим). Вы могли попытаться добавить:
sudo iptables -t raw -A PREROUTING -s IP_OF_ATTACKER -j DROP
Я сделал так на моем тестовом компьютере, и это, кажется, хорошо работает:
$ sudo iptables-save -c
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*raw
:PREROUTING ACCEPT [40:2664]
:OUTPUT ACCEPT [33:4520]
[31:2696] -A PREROUTING -s 192.168.111.103/32 -j DROP
COMMIT
# Completed on Tue Jun 16 11:12:51 2015
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*nat
:PREROUTING ACCEPT [15:1344]
...
Примечание: Я отправил этот тот же ответ на Вашей регистрации форумов Ubuntu.