UDP flood

 ( pnorbi | 2013. november 6., szerda - 12:07 )

Sziasztok,

november 3. 22:41 óta folyamatos udp és tcp forgalom érkezik a céges tűzfalra.
Először saját szerveren próbáltam szűrni, tcp-vel még elbírtam a tarpit segítségével, de az udp-vel nem boldogultam, reject, drop semmit sem ért.
Fél napos próbálkozás után felvettem a kapcsolatot a szolgáltatómmal, aki sávszélesség bővítéssel el tudta érni, hogy érdemben dolgozni is tudjunk.
Jelenleg az udp támadás 80 Mbit sávszélességgel érkezik és ez azóta is folyamatos, lankadatlan.
IP cím kitiltással is próbálkoztunk szolgáltató szinten, de csak percekig működött, percek múlva a tiltott IP helyett újabbak álltak be. Gondolom zombi hálózat van a háttérben.

Jogilag milyen lehetőségem van feljelenteni a támadást és persze kinél? Egyáltalán van-e értelme? Már elgondolkodtam az IP cím váltáson is, de kicsit körülményes lenne.
IP címek vannak, de nagyon sok, szolgáltatókkal felvenni a kapcsolatot nincs értelme, főleg hogy nagy része arab területen van.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

helló

udp, és mi a port?

Mert nálunk egyik kollega otthoni routerét "birizgálták" hasonló módon ott eldobáltuk az összes dnsre vonatkozó bejövő forgalmat és "normalizálódott" a helyzet majd szolgáltatótól új fixip igénylés, azóta nincs gond.
De 3,5GiB lett a végeredmény cirka 200byteos csomagokból.

üdv

Balooo

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

esetek 99%-ban udp 500 persze :), a többi 300-ra és 400-ra megy

szolgaltatot megkerni, hogy dst udp [345]00-at blokkolja? ha szerencsed van neked az ugyse kell:)

Ilyen esetben nem reject-elunk, hanem drop-olunk. Masodreszt, nem csak ip alapon lehet tiltast rakni, pl.: ha semmi nem koveteli meg az UDP hasznalatat, akkor megkerni a szolgaltatot hogy mar ok blokkoljak az osszes udp forgalmat es rakjanak egy kivetelt a dns-re


// Happy debugging, suckers
#define true (rand() > 10)

szolgáltató folyamatosan blokkolja a dst ip és udp-re a forgalmat, de nincs értelme, több mint 900 millió eldobott csomagot logoltak

de itt a kérdés igazán most azon van, hol tudok bejelentést tenni a támadásról?

Szerinted, ha egy lopott bicajt sem találnak meg, akkor mi értelme feljelenteni a botnetet?

forrás ip-k abuse címeier írjál.

sub

Próbáltad felmérni hogy kb hány ezer címről van szó?

nov. 3. 22:41 és nov 4. 5:31 között
6213 db különböző IP-ről összesen 229.911.614 db UDP drop (45992 Mb log fájl alapján)