Jump to content

DoS от пользователя

someday
 Share

Recommended Posts

someday

someday

Posted
Posted

Подскажите, как отбиться, от некоторых пользователей было один раз такое:

Вывод tcpdump:

000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024

000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024

000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024

000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024

000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024

000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024

000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024

000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024

000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024

000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024

000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024

000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain]

000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463

000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024

000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024

000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024

000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024

000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024

000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204

000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024

000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024

000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024

000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024

000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024

000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024

000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024

000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024

000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024

000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024

000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024

000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024

000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024

000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024

000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024

 

Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно.

Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного.

По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой),

но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару

антивирус и аутпост, мне вежливо почему-то отказывали :).

Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых.

Хотел сначала добавить на пользователя :

 

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix "LIMIT :"

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP

 

Но для данного примера это не поможет, и лучше думаю будет следующие:

 

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP

 

Поможет ли это?

 

Ось gentoo, iptables 1.4.3, kernel 2.6.30.

 

 

 

 

photon

photon

Posted
Posted (edited)

Банить надо как можно ближе к источнику вредоносного трафика, т.е. на порту коммутатора, к которому подключен пользователь.

Edited by photon

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.