Jump to content

UDP флоод


talibana

Recommended Posts

Здравейте на всички от много време не бях влизал,и ето ме отново съм тук защото проблемите при мен са винаги на лице,та да започвам, от известно време наблюдавам udp атаки към машината на която хоствам вече от 4 години цс сървъри, добавил съм правила всичко на линукс платформата,но просто ми запълват канала ето и снимка от миналата седмица (доставчик Мегалан) пробвах,по стринг да добавя в защитната стена да падне поне част от атаката,но всичко увисва

iptables -I FORWARD -p udp -m udp -m string --algo bm --hex-string "|697d 6987 001d 0000 ffff ffff 7126 9e2a 0c30 3030 3030 3030 3330 3030 00|" -d 89.190.213.199 -i eth0 -j DROP

iptables -I INPUT -p udp -m udp -m string --algo bm --hex-string "|697d 6987 001d 0000 ffff ffff 7126 9e2a 0c30 3030 3030 3030 3330 3030 00|" -j DROP
или ме флоодват със много голям трафик към мене нещо от рода на снимката или нещо такова с много пакети може би щом увисва всичко пак. Просто незнам какво да направя и да сложа рутер отпред пред машината сигурно пак ще пада всичко! Ако някой може да помогне да се разбере от къде идва шибаната атака ще съм му много благодарен,но ако е някой ботнет няма оправия сигурно.Защото гледам и други хора се оплакват,но гледам някой вече са си решили проблема или просто са спряли да ги атакуват вече. 4946513M.jpg4889401m.jpg tcpdump - стринг
23:21:34.664597 IP 64.116.96.39.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 4cee 4074 6027 59be .1K-@...L.@t`'Y.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.664951 IP 94.77.120.66.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 16fa 5e4d 7842 59be .1K-@.....^MxBY.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.664964 IP 3.181.2.110.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 e766 03b5 026e 59be .1K-@....f...nY.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.664974 IP 189.24.185.182.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 76ba bd18 b9b6 59be .1K-@...v.....Y.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.664983 IP 150.192.199.5.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 8fc3 96c0 c705 59be .1K-@.........Y.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.664993 IP 197.26.169.68.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 7f2a c51a a944 59be .1K-@....*...DY.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.665002 IP 140.187.21.85.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 4b79 8cbb 1555 59be .1K-@...Ky...UY.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.665012 IP 145.165.12.169.27005 > 89.190.213.199.27015: UDP, length 21

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0031 4b2d 4000 1211 4f3b 91a5 0ca9 59be .1K-@...O;....Y.

	0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q&

	0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00	.*.00000003000.

23:21:34.665021 IP 107.36.128.127.27005 > 89.190.213.199.27015: UDP, length 21




00:35:40.681050 IP 97.149.70.108.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 4594 6195 466c 59be .%K-@...E.a.FlY.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681072 IP 74.185.42.159.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 783d 4ab9 2a9f 59be .%K-@...x=J.*.Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681090 IP 3.158.174.156.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 3b5b 039e ae9c 59be .%K-@...;[....Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681109 IP 187.94.46.36.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 0413 bb5e 2e24 59be .%K-@......^.$Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681129 IP 72.159.50.153.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 725d 489f 3299 59be .%K-@...r]H.2.Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681272 IP 60.25.8.190.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 a8be 3c19 08be 59be .%K-@.....<...Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681448 IP 44.169.137.25.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 37d3 2ca9 8919 59be .%K-@...7.,...Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681471 IP 67.95.185.54.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 f0ff 435f b936 59be .%K-@.....C_.6Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681489 IP 74.182.33.93.27005 > 89.190.213.199.27015: UDP, length 7

	0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E.

	0x0010: 0025 4b2d 4000 1211 8182 4ab6 215d 59be .%K-@.....J.!]Y.

	0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0

	0x0030: 3230 3500 0000 0000 0000 0000			205.........

00:35:40.681507 IP 178.116.85.128.27005 > 89.190.213.199.27015: UDP, length 7


19:26:45.055284 IP 15.109.5.132.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055323 IP 153.38.3.8.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055331 IP 84.170.11.139.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055340 IP 193.171.69.185.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055399 IP 152.49.176.91.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055407 IP 113.140.96.166.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055415 IP 1.177.97.190.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055423 IP 175.68.5.151.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055432 IP 142.64.43.69.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055441 IP 69.107.149.8.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055448 IP 74.167.32.136.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055729 IP 91.140.30.15.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055740 IP 122.136.154.26.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055748 IP 88.0.100.75.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055756 IP 92.158.89.85.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055764 IP 97.67.80.84.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055858 IP 134.164.162.145.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055869 IP 55.2.185.164.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055877 IP 32.43.144.125.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055886 IP 192.93.3.33.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055894 IP 178.1.119.3.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055901 IP 58.72.78.68.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.055998 IP 12.193.120.83.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056008 IP 18.154.59.71.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056016 IP 110.29.180.0.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056024 IP 187.198.25.79.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056032 IP 87.124.141.18.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056271 IP 128.188.90.123.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056281 IP 153.102.190.87.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056289 IP 194.88.163.61.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056297 IP 35.139.125.38.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056374 IP 32.12.173.171.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056397 IP 57.122.182.159.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056406 IP 35.104.23.129.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056413 IP 97.182.183.90.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056422 IP 38.149.6.4.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056674 IP 143.117.54.19.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056685 IP 5.3.53.153.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056692 IP 110.173.168.159.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056701 IP 50.97.141.178.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056710 IP 73.80.54.28.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056716 IP 198.88.193.130.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056771 IP 184.51.91.63.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056973 IP 142.22.198.18.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056983 IP 139.13.24.94.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056991 IP 131.104.138.160.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.056999 IP 66.8.39.131.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.057007 IP 76.186.85.59.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.057015 IP 73.90.102.191.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.057023 IP 35.133.91.181.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.057031 IP 67.124.29.39.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.057038 IP 123.110.195.132.27005 > 89.190.213.199.27015: UDP, length 21

19:26:45.057047 IP 132.150.113.39.27005 > 89.190.213.199.27015: UDP, length 21

Edited by talibana
Link to comment
Share on other sites

  • Administrator

първото правило е FORWARD, NAT ли имаш или прехвърляш на др. порт?

От къде идва атаката от клиенти или от неясни места или определени адреси?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Хардуерна стена му е майката. С iptables на хост, няма да постигнеш почти нищо срещу UDP флуд. Ако ти скача CPU утилизацията, може да сложиш и линукс/бсд рутер от пред, с който да орежеш флуда да не стига до сървъра. Ако пък ти грохва мрежовата карта, замени я с по-хубава.

Edited by gbdesign
Link to comment
Share on other sites

Пробвай да си филтрираш пакети с големина 7 и 21, също да намалиш броя пакети в секунда към теб.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

  • Administrator

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables

http://l7-filter.sourceforge.net/

Nmap

най добре почни с това

http://www.ntop.org/products/ntop/

и вземи че си инсталирай едно CACTI не да гледаш статистики отвън

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

talibana, Предприетите от теб действия няма да помогнат. Да знаеш - не си единствения с подобен проблем.

Преди месец ме търсиха за помощ точно за такъв проблем. В момента някой разчиства CS сървърите. При това има достъп до големи ресурси. Атаките са от ботнет мрежи - както и ти предполагаш

Ти сам си го написал, но е много скрито - "но просто ми запълват канала". За това може да ти помогнат само доставчиците.

При случая, когато помагах - атаката беше с повече 1Gbps международен. Тогава ISP-то на колегата беше му спрял международния, но не помогна (препълни международния на доставчика). Тогава доставчика говори със своя доставчик на международен (Telia) и го филтрираха там - по дестинация.

Последно колегата разкара международния и остави само пътища до БГ мрежи, доставчика му му спря международния и чат-пат закърпи нещата.

Успех ...

  • Like 1
Link to comment
Share on other sites

Винаги има варианти за превенция.

Един извратен вариант е, да ползваш layer7 с iptables. С него си маркираш протокола на играта и всичко останало дропиш (евентуално web и някакъв access към сървъра си запазваш). Важно е когато се работи с layer7 първо да маркираш трафика с някакъв маркер (понеже е необходимо малко време за разпознаване на конкретния вид протокол - в случая halflife) и тогава да приемаш действия с този маркер. Ако го правиш на локалната машина може да работиш с MARK на iptables, ако се разбереш с доставчика да ти го маркира, те могат да ти го маркират с DSCP (MARK-а важи само за локалната машина) - това е по-чистия вариант ако се навият.

Самия протокол halflife се маркира коректно - преди време като си правих QoS го ловеше без ядове.

Проверката на верния трафик в такова количество трафик ще отнема много ресурс на сървъра!

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

ако спреш dport 27015

iptables -A INPUT -p udp -s port 27005 --dport 27015 -j DROP

и ако продължава на вътре:

iptables -A FORWARD -p udp -s port 27005 --dport 27015 -j DROP

Edited by Тодор Лазаров
Link to comment
Share on other sites

  • Administrator

в такива случаи помага модернизиране на услугата с клиент

за сега си смени ИП-то като начална превенция

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

НЯМА КАК ДА СПРЕШ ВХОДЯЩ ТРАФИК !!!

Смени си IP-то , друго няма да помогне :)

  • Like 1

... и яз можем, и тате може, ма козата си сака пръч!

Link to comment
Share on other sites

  • Administrator

При смяна на ИП-то не пренасочвай DNS запис към новото ИП

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

А не може ли да се хванат по някакъв начин тези индивиди, да хванем някак реалния адрес..

Link to comment
Share on other sites

  • Administrator

А не може ли да се хванат по някакъв начин тези индивиди, да хванем някак реалния адрес..

ботнет мрежата включва много адреси не един

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Ако хостваш само в BG е лесно.

Изкарваш си от BGP-то (ако имаш) или от някъде другаде IP адресите в България и всичко останало дропиш.

Ако хостваш за цял свят ... *бало си ма*ата :)

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.