UDP flood

Hálózatok egyéb

Sziasztok,

november 3. 22:41 óta folyamatos udp és tcp forgalom érkezik a céges tűzfalra.
Először saját szerveren próbáltam szűrni, tcp-vel még elbírtam a tarpit segítségével, de az udp-vel nem boldogultam, reject, drop semmit sem ért.
Fél napos próbálkozás után felvettem a kapcsolatot a szolgáltatómmal, aki sávszélesség bővítéssel el tudta érni, hogy érdemben dolgozni is tudjunk.
Jelenleg az udp támadás 80 Mbit sávszélességgel érkezik és ez azóta is folyamatos, lankadatlan.
IP cím kitiltással is próbálkoztunk szolgáltató szinten, de csak percekig működött, percek múlva a tiltott IP helyett újabbak álltak be. Gondolom zombi hálózat van a háttérben.

Jogilag milyen lehetőségem van feljelenteni a támadást és persze kinél? Egyáltalán van-e értelme? Már elgondolkodtam az IP cím váltáson is, de kicsit körülményes lenne.
IP címek vannak, de nagyon sok, szolgáltatókkal felvenni a kapcsolatot nincs értelme, főleg hogy nagy része arab területen van.

  • 6745 megtekintés

( Balooo v | 2013. 11. 06., sze – 11:34 )

helló

udp, és mi a port?

Mert nálunk egyik kollega otthoni routerét "birizgálták" hasonló módon ott eldobáltuk az összes dnsre vonatkozó bejövő forgalmat és "normalizálódott" a helyzet majd szolgáltatótól új fixip igénylés, azóta nincs gond.
De 3,5GiB lett a végeredmény cirka 200byteos csomagokból.

üdv

Balooo

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

( Mcsiv v | 2013. 11. 06., sze – 11:38 )

Ilyen esetben nem reject-elunk, hanem drop-olunk. Masodreszt, nem csak ip alapon lehet tiltast rakni, pl.: ha semmi nem koveteli meg az UDP hasznalatat, akkor megkerni a szolgaltatot hogy mar ok blokkoljak az osszes udp forgalmat es rakjanak egy kivetelt a dns-re

// Happy debugging, suckers
#define true (rand() > 10)

( elod v | 2013. 11. 06., sze – 13:57 )

Próbáltad felmérni hogy kb hány ezer címről van szó?