Atak typu UDP flood. Problem (semi Rozw.)

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
michas100
Użytkownik
Posty: 316
Rejestracja: 2009-06-23, 07:56
Lokalizacja: Włocławek
Kontakt:

Atak typu UDP flood. Problem (semi Rozw.)

Post autor: michas100 » 2013-07-31, 07:19

Witam serdecznie od kilku dni mam nieprzyjemnośc doświadczenia ataku datagramami UDP. Googlowałem jednak nic oprócz jednej osoby co zmieniła IP_WAN nie znalazłem jako remedium na ten atak.
Uszczelniłem serwerek DNS (był OpenDNS) jednak to nie nie dało)
Próbowałem zablokowac adres ip za pomoca iptables też nie pomogło.
Prosze o pomoc, może miał ktoś podobny problem:

zrzut z tcpdumpa:

Kod: Zaznacz cały

 07:49:07.359136 IP (tos 0x0, ttl 250, id 33418, offset 0, flags [none], proto: UDP (17), length: 67) 188.93.212.127.39553 > 192.168.0.3.domain:  39150+ [1au] ANY? edelion.su. (39)
Pozdrawiam
Ostatnio zmieniony 2013-08-01, 10:43 przez michas100, łącznie zmieniany 1 raz.
slackware student :-)
ObrazekObrazek

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Atak typu UDP flood. Problem

Post autor: Pajaczek » 2013-07-31, 19:50

No chyba średnio zablokowałeś firewallem, skoro coś przechodzi... Może zamiast DROPa spróbuj REJECTa
I próba kontaktu z ISP też mogła by przynieść efekt... niech on się martwi o blokowanie.

Awatar użytkownika
webster
Użytkownik
Posty: 1266
Rejestracja: 2009-10-06, 11:58
Lokalizacja: Gdańsk
Kontakt:

Re: Atak typu UDP flood. Problem

Post autor: webster » 2013-07-31, 20:53

Prawda, event Powinieneś zgłosić do ISP.
††† Chaos Of The Mirror - Valheru †††
††† I ♥ SlackWare RuLeZ †††

Slackware Poland FaceBook

Awatar użytkownika
michas100
Użytkownik
Posty: 316
Rejestracja: 2009-06-23, 07:56
Lokalizacja: Włocławek
Kontakt:

Re: Atak typu UDP flood. Problem (semi rozw.)

Post autor: michas100 » 2013-07-31, 21:59

Dzięki za odpowiedzi i rady z ISP (to TIER 3 rzędu) nic nie zrobi tam tylko Pani odbiera i pyta czy zrestartować modem ;) (isp_ telewizja kablowa w tym przypadku...) Poradziłem sobie blokadą portu udp 53 dnsu na zewnątrz (nie jest mi potrzebny w tej akurat konfiguracji bo nie mam tam pełnej delegacji domeny a jedynie wpis jako host w dns)
Pozdrawiam
slackware student :-)
ObrazekObrazek

ODPOWIEDZ