防范DOS攻击

Question

有人是DOSing我的服务器。这不是DDOS攻击，因为这次攻击只涉及一台服务器。我只需使用以下iptable规则删除来自攻击者的所有数据包：

iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP

这条规则很管用。我可以通过iftop命令看到他的流量到达我的服务器。然而，即使在DOS攻击下，我的所有服务都进展顺利。他给我的服务器上了2-3天的药，但是iptables的规则对丢包非常有效。然而，今天他再次以相同的带宽运行他的DOS攻击，但我的服务器已经死了。我捕获/分析了数据包，但是iptable成功地丢弃了所有数据包。

我还运行了以下命令，查看IP表阻塞了多少通信量：

iptables -nvL --line-numbers

22G .交通堵塞2-3天：

num   pkts bytes target     prot opt in     out     source               destination
1    3203K   22G DROP       all  --  *      *       ATTACKER_IP          0.0.0.0/0

只有3gb的流量被阻塞。然而，他DOSed我们的服务器一整天，有超过100 he的流量(IMHO)。

num   pkts bytes target     prot opt in     out     source               destination
1     707K 3553M DROP       all  --  *      *       ATTACKER_IP         0.0.0.0/0

为什么服务器还坏着呢？什么事情可以被改变？我还能做些什么来阻止他吗？我已经把他的I报告给了主机公司，但调查需要7-8天才能关闭他的服务器。

Answer 1

基于主机的防火墙可能会保护您的服务，但在丢弃它之前，仍然需要将违规的流量传递给主机。

您的上行链路仍然是一个有限的资源，如果攻击者发送的垃圾数量增加，那么对合法通信产生有害影响的风险就会增加。你可能想联系你的主机提供商，如果他们可以支持你(也许在他们的网络边缘)。