Sziasztok
Mivel a múltkori hálózat felderítős témánál kiderült, hogy sok jogtudós ember
nézi a listát, így feldobom ide is a kérdést.
Ilyen csomagok jönnek 'tonnaszám' (~10mbit), és rossz hatással vannak a futó
szerverekre
2012-05-08 19:56:41.894997 IP (tos 0x0, ttl 112, id 15981, offset 0, flags
[none], proto UDP (17), length 43) 91.205.41.175.28690 > 94.199.178.108.28960:
[no cksum] UDP, length 15
0x0000: 4500 002b 3e6d 0000 7011 75a5 5bcd 29af E..+>m..p.u.[.).
0x0010: 5ec7 b26c 7012 7120 0017 0000 ffff ffff ^..lp.q.........
0x0020: 6765 7473 7461 7475 730a 0000 0000 getstatus.....
2012-05-08 19:56:41.895009 IP (tos 0x0, ttl 112, id 5985, offset 0, flags
[none], proto UDP (17), length 43) 91.205.41.175.28690 > 94.199.178.108.29005:
[no cksum] UDP, length 15
0x0000: 4500 002b 1761 0000 7011 9cb1 5bcd 29af E..+.a..p...[.).
0x0010: 5ec7 b26c 7012 714d 0017 0000 ffff ffff ^..lp.qM........
0x0020: 6765 7473 7461 7475 730a 0000 0000 getstatus.....
2012-05-08 19:56:41.895017 IP (tos 0x0, ttl 112, id 32383, offset 0, flags
[none], proto UDP (17), length 43) 91.205.41.175.28690 > 94.199.178.108.28960:
[no cksum] UDP, length 15
0x0000: 4500 002b 7e7f 0000 7011 3593 5bcd 29af E..+~...p.5.[.).
0x0010: 5ec7 b26c 7012 7120 0017 0000 ffff ffff ^..lp.q.........
0x0020: 6765 7473 7461 7475 730a 0000 0000 getstatus.....
Mivel egy újszülöttnek minden vicc új, nem tudtam miről van szó. Leveleztem
egyet az ehhez a címhez tartozó céggel.
Eddig jutottunk :
>Someone is attacking this IP with a spoofed UDP attack.
>
>HOST (A) sends spoofed UDP request to our HOST (B) using
>fake SOURCE IP address (YOURS), our HOST (B) is answering with
>UDP reply to fake SOURCE IP address (YOURS).
>
>So, in fact, 91.205.41.175 never sent any UDP packet to You, but attacker
>sent many packets using fake source IPs (including yours) and our host
>is sending UDP answers to all spoofed SYN packets. There is no way
>to detect is the incoming UDP packet spoofed or not, the internet
>standart requires a reply for each received packet.
>
>It's so called "Spoofed UDP Flood" attack.
A csomagok a leg változatosabb "címekről". DE/FR/GB/US/NL jönnek (ma egy német
cím van a csomagban, 7-én egy amerikai volt). Ami minden esetben ugyan az,
ttl:112.
Guglizás után arra jutottam, hogy én ezzel érdemben nem tudok mit kezdeni,
azon kívül, hogy eldobom a csomagokat.
De ez sajnos nem oldja meg problémát. Befelé jön közel 10mbit szemét, amitől
a szerverek lagolnak (amíg az iptables a szeméttel foglalkozik, értelemszerüen
várnak sorukra a játékosok csomagjai).
Tehát a kérdésem az lenne, hogy merre induljak, kivel beszéljek, hogy azt a
nyomorékot, aki most ezzel szórakozik falhoz tudjam állítani.
Ötleteket előre is köszönöm.
üdv
oleslie
_________________________________________________
linux lista - [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux