Перейти к содержимому
Калькуляторы

DoS от пользователя

Ответить

someday   

someday
Опубликовано · Жалоба

Подскажите, как отбиться, от некоторых пользователей было один раз такое:

Вывод tcpdump:

000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024

000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024

000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024

000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024

000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024

000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024

000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024

000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024

000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024

000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024

000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024

000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain]

000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463

000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024

000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024

000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024

000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024

000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024

000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204

000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024

000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024

000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024

000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024

000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024

000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024

000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024

000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024

000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024

000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024

000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024

000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024

000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024

000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024

000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024

 

Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно.

Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного.

По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой),

но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару

антивирус и аутпост, мне вежливо почему-то отказывали :).

Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых.

Хотел сначала добавить на пользователя :

 

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix "LIMIT :"

iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP

 

Но для данного примера это не поможет, и лучше думаю будет следующие:

 

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG

iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP

 

Поможет ли это?

 

Ось gentoo, iptables 1.4.3, kernel 2.6.30.

 

 

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

photon   

photon
Опубликовано (изменено) · Жалоба

Банить надо как можно ближе к источнику вредоносного трафика, т.е. на порту коммутатора, к которому подключен пользователь.

Изменено пользователем photon

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bitbucket   

bitbucket
Опубликовано · Жалоба

Поможет ли это?

Не поможет. Ищите c&c сервер и блокируйте его. А юзеру надо прописать вирье ловить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы