大家好
想請問一下以下症狀是不是DOS攻擊
1. 提供的服務每天下午五點開始就會爆炸
周末的話是下午三點開始爆炸
用nload看會發現100M的流量幾乎被占滿了,
用netstat看會發現來幾個IP的連線數量少部分有 5~6個 多的時候20個
來自西雅圖,但就算把那個ip給drop掉,流量還是被占滿
2. 用hinet pppoe 固定IP連線 以太網路線一插上去馬上飆到100M/s
用隨機IP就沒事
3. 初步防護
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25565 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 8123 -m state --state NEW -m limit
--limit 1/second -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -L
請問有沒有什麼工具可以看到哪個IP的流量的
找了很久但是由於LINUX新手覺得有點痛苦
流量暴增的時候
nethogs也沒查到什麼奇怪的流量 都<1M/s
就只有用nload會發現RX 被占滿
4. 先把乙太網路拔了,插回去重新撥號
流量暴增時
用netstat看連線數 沒有可疑IP 都是本機連線
請問依照我的iptables還有什麼攻擊是危險的?
上來問的原因是
都找不到哪個IP OR 程式的流量很奇怪
覺得苦惱,做了很多功課,資質魯鈍
才上來請教 謝謝
--
All Comments