我有一个英国托管公司的裸机专用服务器。
他们有一个自动化系统,因为他们声称我使用了未经授权的 IP 地址,所以一直阻止我的服务器。他们声称我的服务器试图绑定的 IP 地址是 109.169.37.166。我被允许使用的 IP 地址是 109.169.37.97。
如果我这样做ip addr show,输出是:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether c8:1f:66:c4:b4:1d brd ff:ff:ff:ff:ff:ff
inet 109.169.37.97/24 brd 109.169.37.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::ca1f:66ff:fec4:b41d/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether c8:1f:66:c4:b4:1e brd ff:ff:ff:ff:ff:ff
所以机器出现在这里被绑定到正确的IP。另外,如果我查看我的 netplan 配置文件,输出是:
# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
version: 2
renderer: networkd
ethernets:
eth0:
addresses: [ 109.169.37.97/24 ]
gateway4: 109.169.37.1
nameservers:
addresses: [ 80.84.58.27, 80.84.58.28 ]
这再次出现正确。我很茫然。还能在哪里分配不正确的 IP 地址?我的 DNS 设置为指向 109.169.37.97 地址,这可以正常工作,所以我不确定问题出在哪里。
您始终可以安装防火墙规则来完全记录(记录)和阻止(丢弃)具有错误 IP 的传出流量。使用这样的东西:
(按此顺序,因为第二个
-I ... 1命令会将与第一个命令一起安装的规则移动到第二个位置)。您甚至可以尝试运行一些日志分析程序,该程序将对“可疑”做出反应并ip addr立即运行以查看是否已将声明的地址分配给机器。一台计算机可以使用某个源地址向网络发送数据包,即使它没有分配该地址。例如,这正是路由器正在做的事情。这种情况的特例是代理 ARP,它也可以显示这种奇怪的行为。您的计算机也可以向该地址提供源 NAT 内容。意外配置这一切很难,但谁知道发生了什么,原来的说法很奇怪。无论如何,在所有这些情况下,数据包都不会遍历过滤器 OUTPUT 链,因此上述规则不会捕获它,但您可以有其他规则触发;尝试将类似的规则安装到过滤器 FORWARD 中,甚至破坏 POSTROUTING。(我认为在应用了所有可能的转换之后,Netfilter 无法捕获数据包;有关详细信息,请参阅Netfilter 数据包流程图)。
如何分析为什么会发生:如果问题经常发生,最好是运行流量捕获并捕获声称的IP地址劫持事件。然后,您可以分析该捕获以查看发生了什么(在声称劫持发生之前,哪些流量是直接发生的)。
如果不可行,比如每周随机出现一次问题,尝试配置流量记帐,例如用
flow-tools,分析。