ip_conntrack充斥大量不可思议的连接,是否存在被攻

yaojiongcn

ip_conntrack充斥大量不可思议的连接,是否存在被攻击的BUG

--------------------------------------------------------------------------------

proc/sys/net/ip_conntrack文件信息

tcp 6 55 CLOSE_WAIT src=10.1.10.185 dst=205.188.251.120 sport=2460 dport=80 packets=5 bytes=525 src=205.18
8.251.120 dst=211.155.226.126 sport=80 dport=2460 packets=4 bytes=682 [ASSURED] mark=0 use=1
tcp 6 46 ESTABLISHED src=211.155.226.124 dst=222.72.81.178 sport=80 dport=1946 packets=51 bytes=63237 [UNR
EPLIED] src=222.72.81.178 dst=211.155.226.124 sport=1946 dport=80 packets=0 bytes=0 mark=0 use=1
tcp 6 90 ESTABLISHED src=211.155.226.124 dst=222.94.50.58 sport=80 dport=12095 packets=1 bytes=40 [UNREPLI
ED] src=222.94.50.58 dst=211.155.226.124 sport=12095 dport=80 packets=0 bytes=0 mark=0 use=1

作为linux 主机起着连接 10.1.10.0和211.155.226.120 NAT功能
我很奇怪为什么ip_conntrack里会充斥着大量src=211.155.226.124 的连接信息约占1/4.
按理ip_conntrack不会记录没有穿透NAT的连接才对,为什么我的ip_conntrack会记录下如此大量的别人的连接.
我的shell脚本里有2条语句:
iptables -A INPUT -p tcp -i eth1 -d ! 211.155.226.120 -j DROP
和特意为src=211.155.226.124 增加的
iptables -A INPUT -i eth1 -s 211.155.226.124 -p tcp --syn -j DROP
没有任何效果

___________________________________
iptables 1.2.9-2.3.1 FC2

Bluedata

http://211.155.226.124/

打开看看，再找找内部的原因吧。