iptables DROP 計數器

我發現從具有相同子網的 10 個不同 IP 地址到我的 Web 伺服器的奇怪連接46.229.168.0/23。

此子網屬於託管服務提供商，幾乎不代表真實使用者。

之後，我通過 iptables 阻止了他們。

我想了解我是否受到 DDOS 攻擊？

我跑了：

iptables -L -v -n

並得到以下輸出：

Chain INPUT (policy ACCEPT 2141K packets, 1607M bytes)
pkts bytes target     prot opt in     out     source               destination         

158K 9369K DROP       tcp  --  *      *       46.229.168.0/23      0.0.0.0/0            tcp dpt:80

9369K - 包裹被丟棄 24 小時。

說它是 DDOS 攻擊就足夠了嗎？

它太小而不能按頻寬進行 DDoS，但這本身並不意味著它不會嘗試利用您的 Web 伺服器中的某些東西，無論是針對 Range 標頭漏洞等應用層 DoS 還是針對垃圾郵件。

你沒有說連接有什麼“奇怪”。難以解釋的中等流量可能意味著您正在參與反射攻擊，而 DRDoS 受害者在其他地方，通常由欺騙的 IP 地址（第 3 層 DRDoS）或 URL（第 7 層）指示。例如，如果您看到許多半開SYN_RECV連接，則確保 tcp_syncookies 已打開。第 7 層 DRDoS 類似於xmlrpc.phpWordPress 中的呼叫。

但是，您提供的是 IP 範圍，這與一個名為SEMrushBot的攻擊性機器人有關，您可以從日誌中的 User-Agent 中看到。它似乎是一種對您或您的訪問者沒有價值的三級服務，因此可能值得阻止，robots.txt正如它所暗示的那樣。

User-agent: SemrushBot
Disallow: / 
User-agent: SemrushBot-SA
Disallow: / 

或者只是防火牆可疑範圍。

引用自：https://serverfault.com/questions/869567