来自IP的恒定流量
我不断收到来自IP的流量。我检查过web服务器日志,但什么也没有发现。我使用IP表关闭端口80,但没有成功。
以下是我提取的内容:
关闭端口80后的TCPDump:... 16:29:58.352491 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 2165011454, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.354140 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1721916742, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.437774 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 363447977, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.524299 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 137986954, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.610422 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1651557377, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.695648 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1644752218, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.762889 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 708774106, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.781295 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1366521335, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.821036 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 1828494182, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.866077 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 858654160, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:58.957206 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 497033597, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 16:29:59.040977 IP elfmoney.ru.www > ME.DOMAIN.www: Flags [S], seq 698028417, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 ...
我怎么才能知道更多关于发生什么的事?
回答 2
Server Fault用户
发布于 2014-03-29 16:41:32
iptables -t raw -A PREROUTING -p all -j ACCEPT ;
iptables -t raw -I PREROUTING -s iptoblock -p all -j DROP ;
iptables -I INPUT 1 -s iptoblock -p all -j DROP ;将iptoblock替换为违反IP地址。如果有用就告诉我!
Server Fault用户
发布于 2014-03-29 20:09:12
您可以通过允许响应几个SYN数据包而返回SYN来了解源IP是否被欺骗。如果客户端使用有效的ACK数据包应答SYN,则不会欺骗客户端IP。
如果客户端IP被欺骗,那么您就不能做更多的事情了。
如果客户端IP是真实的,您可以使用LaBrea或类似的工具来减缓它的速度。
但是,如果数据包的发送方忽略了发送回的所有回复(这在SYN洪流中是典型的),那么最好的方法是使用SYN cookie来确保您的服务对合法用户保持功能。
https://serverfault.com/questions/585350
复制相似问题
腾讯云开发者
