내 서버는 다음과 같이 tcpdump를 사용하여 캡처된 특정 포트(7777)를 대상으로 하는 단일 IP에서 플러딩됩니다.
16:38:35.079994 IP 20.195.191.67.58074 > 12.34.56.78.7777: UDP, 길이 4
소스 IP를 차단하기 위해 두 가지 방법을 사용해 보았습니다.
ip route add blackhole 20.195.191.67/32
iptables -A INPUT -s 20.195.191.67 -j DROP
그러나 tcpdump는 변경 사항을 보고하지 않습니다. 해당 IP의 트래픽이 계속해서 발생합니다. 내 서버는 여전히 그 영향을 느끼고 있습니다(서비스가 거의 응답하지 않음).
여기서 뭔가 빠졌나요? IP를 차단하려고 해도 아무런 효과가 없는 이유는 무엇입니까?
답변1
여기서 뭔가 빠졌나요? IP를 차단하려고 해도 아무런 효과가 없는 이유는 무엇입니까?
포트 7777(언리얼 토너먼트 서버?) 그러면 이 패킷은 어쨌든 삭제됩니다. iptables에 이를 구체적으로 제거하라고 지시하면 Linux가 해당 포트에서 수신 대기하는 프로그램을 찾지 못하게 됩니다. 패킷은 여전히 서버에 도달하여 처리됩니다.
이는 전용 방화벽을 두고 실제로 필요한 서버의 포트만 열어야 하는 큰 이유입니다. 대부분은 그러한 시나리오를 위한 일종의 홍수 감지/방지 기능을 갖추고 있습니다.
불행하게도 누군가가 단일(사용되지 않는) 포트로 패킷을 전송하여 서버를 초과할 수 있는 경우 이를 방지하기 위해 서버 자체에서 할 수 있는 일은 없습니다.
답변2
다른 답변에서 언급했듯이 iptables/방화벽 유무에 관계없이 서버는 여전히 패킷을 처리해야 합니다. 당신이 시도할 수 있는 것은 라우터에서 IP를 차단하거나, IP 차단을 처리하는 "Cloudflare"와 같은 서비스를 통해 모든 트래픽을 집중시키는 것입니다(하드웨어가 패킷 플러드를 처리하지 않아도 됨).
답변3
특정 IP의 공격을 자동으로 차단하는 fall2ban 설치를 고려해 보세요. 지금 이렇게 하면 효과가 있을 것 같아요.
iptables와 관련하여 다음을 수행해야 합니다.service iptables save