2 votes

Balon avatar

Protection contre les inondations UDP

Demandé el 22 de Mai, 2011
Quand la question a-t-elle été
2403 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

L'un de mes serveurs est inondé de paquets udp sur des ports aléatoires.

12:11:54.190442 IP 182.48.38.227.60173 > localhost.51523: UDP, length 1
12:11:54.190447 IP 182.48.38.227.60173 > localhost.23769: UDP, length 1
12:11:54.190560 IP 182.48.38.227.60173 > localhost.4655: UDP, length 1
12:11:54.190564 IP 182.48.38.227.60173 > localhost.13002: UDP, length 1
12:11:54.190685 IP 182.48.38.227.60173 > localhost.52670: UDP, length 1
12:11:54.190690 IP 182.48.38.227.60173 > localhost.21266: UDP, length 1
12:11:54.190696 IP 182.48.38.227.60173 > localhost.7940: UDP, length 1
12:11:54.190810 IP 182.48.38.227.60173 > localhost.35950: UDP, length 1
12:11:54.190818 IP 182.48.38.227.60173 > localhost.62370: UDP, length 1
12:11:54.190828 IP 182.48.38.227.60173 > localhost.28225: UDP, length 1
12:11:54.190935 IP 182.48.38.227.60173 > localhost.56093: UDP, length 1
12:11:54.190939 IP 182.48.38.227.60173 > localhost.54250: UDP, length 1
12:11:54.190941 IP 182.48.38.227.60173 > localhost.15275: UDP, length 1
12:11:54.190948 IP 182.48.38.227.60173 > localhost.28750: UDP, length 1

J'en ai beaucoup. Je sais que si le système reçoit un paquet udp, il vérifie si une application veut le traiter, sinon, il renvoie un paquet. Pour éviter cela, j'ai activé le blackholing pour udp.

net.inet.udp.blackhole=1

Je dois ajouter que je bloque tous les attaquants avec mon pf (packet filter) et cela semble aider, mais il semble avoir accès à un botnet et change d'adresse IP source comme je change de chaussettes OU il usurpe simplement l'ip source des paquets.

Quoi qu'il en soit, l'attaquant est toujours en mesure d'inonder mon serveur et je ne sais pas comment m'en défendre.

J'apprécierais toute aide.

Graph showing incomming packets (you can see when the attack begins)

PS. Je ne peux pas me permettre un pare-feu matériel ;)

Demandé el 22 de Mai, 2011 par Balon

Réponse

Trop de publicités?

2voto

the-wabbit avatar
the-wabbit Points 40039

Les données cruciales sont ici :

length 1

ce qui signifie que quelqu'un essaie probablement de maintenir sa charge en amont à un niveau bas pour provoquer des paquets de réponse plus importants de votre hôte. L'adresse IP source (182.48.38.227) est probablement forgée et donc elle-même victime d'une attaque.

Si vous êtes confronté à un encombrement du réseau en raison de la charge UDP, votre seule chance d'atténuer l'impact est de demander à votre fournisseur en amont de mettre en place une règle de filtrage pour empêcher ces paquets UDP d'être transmis à votre réseau.

Répondu el 22 de Mai, 2011 par the-wabbit (40039 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X