Отслеживание входящей атаки на сервер
Я заметил, что трафик UDP попадает на сервер с общим IP. Есть ли какой-нибудь способ сказать, какой сайт они пытаются на него?
2 ответа
Нет, если тело пакета не содержит эту информацию. Обнюхайте его, используя tcpdump или wireshark, и посмотрите.
После того, как вы преобразовали DNS-имя в IP-адрес, его невозможно сторнировать (DNS -> IP - "многие к одному").
Проблема в том, что трафик UDP тривиально подделать.
Ваш Интернет-провайдер может помочь вам отфильтровать трафик, если он значительный, но без сотрудничества всех интернет-провайдеров невозможно отследить трафик UDP с высокой степенью достоверности.
Если лицо, отправляющее пакеты, предоставило ложную / недействительную информацию IP / порта источника, вы действительно ничего не можете сделать, чтобы отследить их.