Iptables
iptables … -j DROP 似乎使連接保持打開狀態?
如果這是一個愚蠢的問題,請原諒我,我不是網路專家。朋友伺服器正被某個 IP 淹沒,這在查看 的輸出時非常明顯
tcptrace
,因為有數百個狀態為“RESET”的連接。我做了一件顯而易見的事情,並使用 iptables 阻止了所說的 IP 地址:
iptables -I INPUT -s <bad guy> -j DROP
據我了解,這應該可以解決問題。現在連接顯示為“SYN_SENT”而不是“RESET”
tcptrace
,這對我來說毫無意義。我忽略了什麼嗎?我需要採取一些額外的步驟讓核心完全斷開連接嗎?
編輯:
另一個奇怪的是,無論有沒有 iptables 規則,是否都會出現任何奇怪的連接
netstat -tuna
(一定要喜歡那個命令),我讀了很多遍,不應該是這種情況。
據我了解,這應該可以解決問題。現在,連接在 tcptrace 中顯示為“SYN_SENT”,而不是“RESET”,這對我來說毫無意義。
關於大多數基於 pcap 的工具要記住的重要一點是,pcap 通常在核心網路堆棧中擷取比任何 netfilter 程式碼更低的位置。因此,您使用 iptables 丟棄的數據包仍會到達介面並被擷取。
您在擷取中看到了流量 SYN 數據包,但假設您的規則與流量正確匹配,它們可能不會被傳遞到系統中的任何其他內容。查看計數器 (
iptables -nvL
) 的規則以仔細檢查。無論是否有 iptables 規則,netstat -tuna 是否會出現任何奇怪的連接
有了規則,我們顯然會期望什麼都看不到,所以這並不令人驚訝。不知道為什麼你沒有看到任何沒有規則的東西。雖然我可能會
ss -nut
在 netstat 上使用。