Форум Сайтостроение Администрирование серверов

нужна помощь, ddos udp

12
M2
На сайте с 04.04.2012
Offline
3
mrmen2
3036

нужна помощь, ddos udp. дц у себя отключить udp к нашему серверу не может,

tcpdump -n -v udp выводит:

85.47.84.167.17500 > ип сервера: NBT UPD PACKET(137) QUERy; REQUEST; UNICAST

нагрузка на канал всего 10-15мб но ssh отвалился, как полностью закрыть udp на фрайволе? долбят по случайным портам как я понял

и еше вопрос) как поменять время что бы после ребута сохранилось? date -s не сохраняет

---------- Добавлено 05.05.2012 в 20:32 ----------

16:31:07.460468 IP (tos 0x0, ttl 114, id 22354, offset 0, flags [none], proto UDP (17), length 78)

63.146.178.133.189 > МОЙИП.137: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST

16:31:08.960468 IP (tos 0x0, ttl 114, id 22453, offset 0, flags [none], proto UDP (17), length 78)

63.146.178.133.189 > МОЙИП.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

M
На сайте с 01.12.2009
Offline
235
madoff
#1

Мало информации. Что за OS

netstat -antp | grep udp

Администратор Linux,Freebsd. построения крупных проектов.
M2
На сайте с 04.04.2012
Offline
3
mrmen2
#2

пусто, не чего не выводит, ОС debian

M
На сайте с 01.12.2009
Offline
235
madoff
#3
mrmen2:
пусто, не чего не выводит, ОС debian

Пакеты брооадкаст не думаю что стоит на них обращать внимания.

iptables -I INPUT -p udp ! --dport 53 -j DROP - вот так попробуйте кроме 53 порта

iptables -I INPUT -p udp -j DROP , если хотите полностью закрыть

M2
На сайте с 04.04.2012
Offline
3
mrmen2
#4

все равно вылетает ssh и другие сервисы

M
На сайте с 01.12.2009
Offline
235
madoff
#5
mrmen2:
все равно вылетает ssh и другие сервисы

как ? в деталях расскажите.

M2
На сайте с 04.04.2012
Offline
3
mrmen2
#6

теперь бьют tcp по 80 порту (на нем даже не чего не висит) но ssh все равно отлетел, в чем проблема может быть? входящий трафик 10мбит примерно

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#7
madoff:
Пакеты брооадкаст не думаю что стоит на них обращать внимания.

iptables -I INPUT -p udp ! --dport 53 -j DROP - вот так попробуйте кроме 53 порта
iptables -I INPUT -p udp -j DROP , если хотите полностью закрыть

И что, ты думаешь, что после этого трафик перестанет идти? 🍿

Не стоит плодить сущности без необходимости
M2
На сайте с 04.04.2012
Offline
3
mrmen2
#8
Andreyka:
И что, ты думаешь, что после этого трафик перестанет идти? 🍿

трафик всего на 10-20мбит, канал 100мбит, почему все отваливается от сети тогда?

tcpdump -i eth1-n -v tcp

16:56:39.854649 IP (tos 0x0, ttl 64, id 47461, offset 0, flags [DF], proto TCP (6), length 104)
    188.127.249.186.7777 > 46.203.242.218.55951: Flags [P.], cksum 0xd83a (incorrect -> 0xad45), seq 250:314, ack 86, win 7, length 64
16:56:39.858649 IP (tos 0x20, ttl 117, id 5265, offset 0, flags [DF], proto TCP (6), length 92)
    94.181.108.61.54212 > 188.127.249.186.22: Flags [P.], cksum 0x134c (correct), seq 8297:8349, ack 1865664, win 16698, length 52
16:56:39.858649 IP (tos 0x0, ttl 64, id 30867, offset 0, flags [DF], proto TCP (6), length 1500)
    188.127.249.186.7777 > 95.71.189.237.2925: Flags [.], cksum 0xd93d (incorrect -> 0x4530), seq 21221:22681, ack 228, win 6432, length 1460
16:56:39.858649 IP (tos 0x0, ttl 64, id 30868, offset 0, flags [DF], proto TCP (6), length 972)
    188.127.249.186.7777 > 95.71.189.237.2925: Flags [P.], cksum 0xd72d (incorrect -> 0x569a), seq 22681:23613, ack 228, win 6432, length 932
16:56:39.858649 IP (tos 0x0, ttl 64, id 35152, offset 0, flags [DF], proto TCP (6), length 410)
    188.127.249.186.7777 > 109.87.176.131.49796: Flags [P.], cksum 0xd5a1 (incorrect -> 0x0950), seq 12034:12404, ack 241, win 7, length 370
16:56:39.858649 IP (tos 0x0, ttl 64, id 29993, offset 0, flags [DF], proto TCP (6), length 410)
    188.127.249.186.7777 > 46.200.208.198.2420: Flags [P.], cksum 0xb755 (incorrect -> 0xe211), seq 6812:7182, ack 1, win 6432, length 370
16:56:39.858649 IP (tos 0x0, ttl 64, id 21266, offset 0, flags [DF], proto TCP (6), length 71)
    188.127.249.186.7777 > 178.49.114.94.4035: Flags [P.], cksum 0xdb03 (incorrect -> 0xba8f), seq 3756:3787, ack 150, win 6432, length 31
16:56:39.858649 IP (tos 0x0, ttl 64, id 36524, offset 0, flags [DF], proto TCP (6), length 410)
    188.127.249.186.7777 > 195.162.71.164.1651: Flags [P.], cksum 0xc30d (incorrect -> 0x7eca), seq 6850:7220, ack 26, win 6432, length 370
16:56:39.858649 IP (tos 0x20, ttl 117, id 5266, offset 0, flags [DF], proto TCP (6), length 40)
    94.181.108.61.54212 > 188.127.249.186.22: Flags [.], cksum 0x7920 (correct), ack 1867700, win 16698, length 0
16:56:39.858649 IP (tos 0x10, ttl 64, id 24588, offset 0, flags [DF], proto TCP (6), length 5848)
    188.127.249.186.22 > 94.181.108.61.54212: Flags [.], cksum 0x97f7 (incorrect -> 0x844c), seq 1882656:1888464, ack 8349, win 11, length 5808
16:56:39.858649 IP (tos 0x10, ttl 64, id 24592, offset 0, flags [DF], proto TCP (6), length 396)
    188.127.249.186.22 > 94.181.108.61.54212: Flags [P.], cksum 0x82ab (incorrect -> 0x4c97), seq 1888464:1888820, ack 8349, win 11, length 356
16:56:39.858649 IP (tos 0x20, ttl 117, id 5267, offset 0, flags [DF], proto TCP (6), length 40)
    94.181.108.61.54212 > 188.127.249.186.22: Flags [.], cksum 0x6dc8 (correct), ack 1870604, win 16698, length 0

7829 packets captured

7837 packets received by filter

0 packets dropped by kernel

еше вопрос, как сделать вывод только входящих udp пакетов?

10 Chrome-расширений: Must-have для 42% от общего числа Исследование аудитории белорусского Интернета
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#9

Чтоб понять нужен доступ к серверу

Причин может быть много

M
На сайте с 24.10.2011
Offline
173
michaek
#10
mrmen2:
как сделать вывод только входящих udp пакетов?

tcpdump -pni eth0 proto UDP and dst host 188.127.249.186

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий