Форум Сайтостроение Администрирование серверов

Жалоба на UDP флуд. Можно ли подделать IP отправителя при UDP флуде.

123 4
zexis
На сайте с 09.08.2005
Offline
388
zexis
4712

Уже неделю наблюдаю на сервере UDP флуд.

Команда

tcpdump -n udp and port 80

выдает (IP сервера в листинге заменен на 11.22.33.44) 


11:27:03.164308 IP 95.63.248.76.1474 > 11.22.33.44.80: UDP, length 1000

11:27:03.173547 IP 95.63.248.76.1475 > 11.22.33.44.80: UDP, length 1000

11:27:03.183042 IP 95.63.248.76.1476 > 11.22.33.44.80: UDP, length 1000

11:27:03.364418 IP 95.63.248.76.1477 > 11.22.33.44.80: UDP, length 1000

11:27:03.374412 IP 95.63.248.76.1478 > 11.22.33.44.80: UDP, length 1000

11:27:03.383156 IP 95.63.248.76.1479 > 11.22.33.44.80: UDP, length 1000

11:27:03.565039 IP 95.63.248.76.1480 > 11.22.33.44.80: UDP, length 1000

11:27:03.574531 IP 95.63.248.76.1481 > 11.22.33.44.80: UDP, length 1000

11:27:03.584023 IP 95.63.248.76.1482 > 11.22.33.44.80: UDP, length 1000

11:27:03.765653 IP 95.63.248.76.1484 > 11.22.33.44.80: UDP, length 1000

11:27:03.774897 IP 95.63.248.76.1485 > 11.22.33.44.80: UDP, length 1000

11:27:03.784390 IP 95.63.248.76.1486 > 11.22.33.44.80: UDP, length 1000

11:27:03.965522 IP 95.63.248.76.1487 > 11.22.33.44.80: UDP, length 1000

11:27:03.974770 IP 95.63.248.76.1488 > 11.22.33.44.80: UDP, length 1000

11:27:03.984507 IP 95.63.248.76.1489 > 11.22.33.44.80: UDP, length 1000

Эти запросы идут постоянно уже неделю и дают 1 Гб входящего трафика в сутки.

Хочу написать абузу на IP адрес 95.63.248.76 (Испания) на емейлы указанные в whois.

Вопросы.

1) может ли быть IP адрес 95.63.248.76 указанный в команде tcpdump быть поддельным и реальный атакующий IP другой?

2) Не разобрался на какой емейл в whois этого IP лучше слать абузу. Посоветуйте, на какой?

3) Не даст ли кто ни будь готовый текст жалобы на английском для отправки его владельцам IP? Так как мои навыки английского не достаточны для написания хорошей жалобы.

Заранее благодарю.

kxk
На сайте с 30.01.2005
Offline
990
kxk
#1

zexis, Может быть, мы на входе в стойку, Испании,Италии и прочее такое негативное блокируем :)

Вопрос в том что врятли на вашу жалобу кто-то отреагирует.

Ваш DEVOPS
zexis
На сайте с 09.08.2005
Offline
388
zexis
#2
kxk:
zexis, Может быть, мы на входе в стойку, Испании,Италии и прочее такое негативное блокируем :)
Вопрос в том что врятли на вашу жалобу кто-то отреагирует.

Какими методами делается блокировка?

kxk:
Вопрос в том что врятли на вашу жалобу кто-то отреагирует.

Как же тогда бороться с таким флудом?

MM
На сайте с 04.02.2009
Offline
31
mr.mcduck
#3

это интернет, здесь слать трафик не запрещено

zexis
На сайте с 09.08.2005
Offline
388
zexis
#4
mr.mcduck:
это интернет, здесь слать трафик не запрещено

Владельцы компьютера, с которого идет этот трафик, даже не знают о нем.

Так как их компьютер заражен вирусом, который по команде хакера атакует нужную цель.

Жалоба направлена на то что бы владельцы компьютера удалили вирус.

Они ведь тоже страдают от его присутствия.

kxk
На сайте с 30.01.2005
Offline
990
kxk
#5

zexis, Какая разница, главное что работает

kxk добавил 21.04.2010 в 12:46

zexis, Не будут они ничего удалять, в худшем случае который маловероятен им провайдер просто отключит инет и всё.

kxk добавил 21.04.2010 в 12:47

zexis, Бороться просто, заплати мне или Костичу денежку и спи спокойно, 1 в поле не воин :)

В бюджетных ДЦ других вариантов нет.

zexis
На сайте с 09.08.2005
Offline
388
zexis
#6

Kxk, я бы хотел сам разобраться как можно удаленно заблокировать поток UDP трафика.

Что бы он резался на маршрутизаторах еще до поступления в мой датацентр.

Какие инструменты и протоколы есть для этого?

Kxk, ваши услуги я заказывать не планирую.

Я тему создал для того что бы разобраться в этой проблеме

Яндекс кобласит Как сейчас влияют исходящие Перелинковка
mower
На сайте с 01.12.2009
Offline
63
mower
#7

в крон правило на проверку логов по опредленному признаку. И в бан iptable

[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#8
zexis:
Что бы он резался на маршрутизаторах еще до поступления в мой датацентр.
Какие инструменты и протоколы есть для этого?

Если маршрутизаторы Cisco, то в них для этого есть инструменты, которые называются access-list'ы :)

Пользоваться ими примерно так:

access-list 101 deny udp host 95.63.248.76 any

… и этот access-list будет блокировать весь udp-траф с 95.63.248.76

Лог в помощь!
zexis
На сайте с 09.08.2005
Offline
388
zexis
#9
mower:
в крон правило на проверку логов по опредленному признаку. И в бан iptable

Не поможет.

Так как сервер все равно не отвечает на этот входящий трафик.

Никакие правила iptables на сервере не могут остановить поток входящего трафика к серверу.

Резать нужно на маршрутизаторах до сервера.

Написал письмо в датацентр, может они чем то помогут.

В идеале было бы резать атакующий трафик на маршрутизаторах ближе к атакующему.

Kxk говорит, что такие методы есть.

Но он не расскажет о них даже под пытками :)

kxk
На сайте с 30.01.2005
Offline
990
kxk
#10

zexis, Я понял вы строите ДЦ и хотите халявных консультаций, а тут специально устраиваете такие темы, чтобы потом собрать в F.A.Q и построить свой ДЦ :) Ну чтож, удачи, больше ваших темах не появлюсь :)

kxk добавил 21.04.2010 в 13:50

zexis, Вы ещё Костича спросите чтоб он вам в деталях расписал как всё устроено :)

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий