UDP Flood w sieci LAN/WLAN

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
matryc
Użytkownik
Posty: 74
Rejestracja: 2005-10-30, 09:51
Lokalizacja: Dąbrowa Tarnowska

UDP Flood w sieci LAN/WLAN

Post autor: matryc »

Witam!
W sieci kilkadziesiat komputerow wysyla duzo pakietow takiego typu:
root@xxxxxxx:/# tcpdump -nvlt -i eth0 udp and src 192.168.X
IP (tos 0x0, ttl 128, id 30699, offset 1480, flags [+], proto UDP (17), length 1500) 192.168.X.X > 83.21.217.92: udp
IP (tos 0x0, ttl 128, id 30699, offset 2960, flags [+], proto UDP (17), length 1500) 192.168.X.X > 83.21.217.92: udp
IP (tos 0x0, ttl 128, id 30699, offset 4440, flags [+], proto UDP (17), length 1500) 192.168.X.X > 83.21.217.92: udp
IP (tos 0x0, ttl 128, id 30699, offset 5920, flags [+], proto UDP (17), length 1500) 192.168.X.X > 83.21.217.92: udp
IP (tos 0x0, ttl 128, id 30706, offset 1480, flags [+], proto UDP (17), length 1500) 192.168.X.X > 90.241.226.34: udp
IP (tos 0x0, ttl 128, id 30706, offset 2960, flags [+], proto UDP (17), length 1500) 192.168.X.X > 90.241.226.34: udp
IP (tos 0x0, ttl 128, id 30706, offset 4440, flags [+], proto UDP (17), length 1500) 192.168.X.X > 90.241.226.34: udp
IP (tos 0x0, ttl 128, id 30706, offset 5920, flags [+], proto UDP (17), length 1500) 192.168.X.X > 90.241.226.34: udp
Oczywiście różne są adresy docelowe. Nie wiem co to jest ( wirus / robak ), a sprawdzana przeze mnie ochrona typu ad-aware + avast nic nie wykrywa. Nie mam też teraz pomysłu na blokade na bramie tego typu pakietów. Klienci sami sobie zapychają pasmo upload, a sieć WLAN ( mosty ) obciążone takimi pakietami nie wyrabiają :(
Spotkał się ktoś z takim "czymś"?
Jak to skutecznie wykryć i zablokować?

POZDRAWIAM! :-)

Awatar użytkownika
agresor
Użytkownik
Posty: 718
Rejestracja: 2005-07-03, 21:20
Lokalizacja: Toruń
Kontakt:

Re: UDP Flood w sieci LAN/WLAN

Post autor: agresor »

Wygląda na UDP Flood. Byś musiał bliżej się przyjrzeć jednej stacji pod kątem rootkita. Bo wnioskuje, że masz na stacjach Windowsy, a adware czy ubogi avast nie wykryją procesów, które mogą korzystać z tak zwanego "stealth process", czyli procesu którego nie widać dla wielu programów zapobiegawczych. Tu masz kilka bajerów to tropienia takich rzeczy.
[A] dvanced [G] enetic [R] esearch [E] arly [S] imulated [O] n [R] eality
Liberate my madness...

Awatar użytkownika
matryc
Użytkownik
Posty: 74
Rejestracja: 2005-10-30, 09:51
Lokalizacja: Dąbrowa Tarnowska

Re: UDP Flood w sieci LAN/WLAN

Post autor: matryc »

Trudności z wykryciem tego dodatkowo utrudniają prace w sieci ponieważ ja wykrywam takie coś tcpdump, a następnie przekierowuje pakiety od klientów na strone www z informacją o wirusie. Niestety klienci się "szczypią", że ich komputery są czyste i ciężko wytłumaczyć o posiadaniu "stealth process"

mancin
Użytkownik
Posty: 61
Rejestracja: 2006-03-29, 18:02

Re: UDP Flood w sieci LAN/WLAN

Post autor: mancin »

Mam to samo, nie dość,że floodują router to jeszcze gadają między sobą i na switchu potrafi być 100mbit ruchu, na razie izoluję klientów , wprowadzam vlany. Najciekawsze jest to,że NAT przepuszcza ten ruch do internetu i wysyca medium na jakim jestem podpięty (radiolinia 50mbit) (mimo,ze ma puszczać tylko moją klasę prywatną ). nie da się tego zablokować , tcpdump widzi np. że pakiet przychodzi z adresu 0.0.0.0 do jakiegoś hosta w słowenii . Już mi ręce opadają. Z ludźmi mam to samo, twierdzą,że kompy czyste, przeciez nie będę chodzi do każdego i robił im serwisu systemu

Awatar użytkownika
szpuni
Użytkownik
Posty: 138
Rejestracja: 2006-08-16, 11:58

Re: UDP Flood w sieci LAN/WLAN

Post autor: szpuni »

Kiedys dawno temu mialem podobny przypadek w sieci ktora sie zajmowalem.
Ludzie podobnie mowili ze kompy sa czyste itp, blokowanie portow i ruchu na portach zalatwialo sprawe w 10% przypadkow, wiec odcialem wszystkich od sieci tzn tych u ktorych podejrzewalem ze zalewaja mi siec pakietami i powiedzialem ze dopuki nie odwirusuja komputerow albo nie zadzwonia do nas zeby to naprawic to nie zostana wlaczeni do sieci. Tym sposobem ludziska wzieli sobie do serca to co powiedzialem i sprawdzili kompy pod katem wirusow siec wrocila do normy.
proto UDP (17)
Mozesz tez zablokowac calkowicie tuch na tym porcie i zobaczyc co ci to da
|-|/\(|< !/\/ :D

mancin
Użytkownik
Posty: 61
Rejestracja: 2006-03-29, 18:02

Re: UDP Flood w sieci LAN/WLAN

Post autor: mancin »

to nic nie da, jak blokuję porty to zalewa na innych , jak blokuję ip to podszywa się pod inny, blokuje klasę to zmienia na inną,aż doszedłem to sytuacji w której komp flooduje po klasie adresów z mojej sieci i po różnym portach. Posta pisze z kompa klienta, który nie ma sp1 nawet i kupę trojanów

ODPOWIEDZ