URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4734
[ Назад ]
Исходное сообщение
"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 09-Ноя-10 17:31 
Шлюз - FreeBSD 7.1, за шлюзом моя сетка с реальными ИР адресами. С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80. На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не отвечает.
Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может завалить шлюз, при этом веб сервер работает?

ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около 15 вланов и 100 клиентов.

Содержание
Сообщения в этом обсуждении
"UDP запросы грузят проц и валят сервер"
Отправлено Pahanivo , 09-Ноя-10 21:26 
> Шлюз - FreeBSD 7.1, за шлюзом моя сетка с реальными ИР адресами.
> С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться
> множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80.
> На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не
> отвечает.
> Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который
> генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку
> может завалить шлюз, при этом веб сервер работает?

запросто

> ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около
> 15 вланов и 100 клиентов.

"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 10-Ноя-10 12:42 
>[оверквотинг удален]
>> С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться
>> множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80.
>> На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не
>> отвечает.
>> Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который
>> генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку
>> может завалить шлюз, при этом веб сервер работает?
> запросто
>> ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около
>> 15 вланов и 100 клиентов.

По TCP и ICMP еще можна какие-то параметры в sysctl менять, чтобы сделать шлюз более защищенным. А как защищаться от такого рода UDP атак?

"UDP запросы грузят проц и валят сервер"
Отправлено Pahanivo , 10-Ноя-10 14:19 
вас атакует ваш собственный веб-сервер?
"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 10-Ноя-10 14:42 
> вас атакует ваш собственный веб-сервер?

Не совсем мой. Клиента которому я даю Интернет

"UDP запросы грузят проц и валят сервер"
Отправлено Pahanivo , 10-Ноя-10 15:15 
> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?

мотороллер не мой, я просто разместил объяву

"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 10-Ноя-10 15:53 
>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
> мотороллер не мой, я просто разместил объяву

Pahanivo, если по существу не можете говорить, то зачем сюда писать?
Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет, для шлюза совсем не имеет значения. А назвал я веб-сервер своим, потому что сеть моя и у клиента нет админа, и исправлять ошибки на клиентском веб сервере пришлось мне. Но я не хочу бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить свой шлюз.

Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки на фаерволе?

Кстати snort c правилами от Bleeding не обнаружил атаки

"UDP запросы грузят проц и валят сервер"
Отправлено Pahanivo , 10-Ноя-10 16:09 
>>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
>> мотороллер не мой, я просто разместил объяву
> Pahanivo, если по существу не можете говорить, то зачем сюда писать?

задавайте вопросы по существу - будут соответствующие ответы
> Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет,

думаю? дак сервера уже два?
man tcpdump
> для шлюза совсем не имеет значения. А назвал я веб-сервер своим,
> потому что сеть моя и у клиента нет админа, и исправлять
> ошибки на клиентском веб сервере пришлось мне. Но я не хочу
> бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить
> свой шлюз.

конечно - зачем лечить баги когда есть костыли
> Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки
> на фаерволе?

каких udp запросов? может пакетов?
надо хотябы проанализировать что там идет
> Кстати snort c правилами от Bleeding не обнаружил атаки

"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 10-Ноя-10 16:37 
>>>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
>>> мотороллер не мой, я просто разместил объяву
>> Pahanivo, если по существу не можете говорить, то зачем сюда писать?
> задавайте вопросы по существу - будут соответствующие ответы
>> Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет,

Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете. Научитесь дочитывать предложение до конца

> думаю? дак сервера уже два?

Их изначально было два. Надо внимательно тему читать.

> man tcpdump
>> для шлюза совсем не имеет значения. А назвал я веб-сервер своим,
>> потому что сеть моя и у клиента нет админа, и исправлять
>> ошибки на клиентском веб сервере пришлось мне. Но я не хочу
>> бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить
>> свой шлюз.
> конечно - зачем лечить баги когда есть костыли

Атакующий веб-сервер не мой!!!

>> Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки
>> на фаерволе?
> каких udp запросов? может пакетов?
> надо хотябы проанализировать что там идет
>> Кстати snort c правилами от Bleeding не обнаружил атаки

Сейчас есть только такая статистика:
Nov  8 13:34:59 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:34:59 gate last message repeated 840 times
Nov  8 13:34:59 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:00 gate last message repeated 1741 times
Nov  8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:00 gate last message repeated 1943 times
Nov  8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:00 gate last message repeated 1439 times
Nov  8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:02 gate last message repeated 14637 times
Nov  8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:03 gate last message repeated 136 times
Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:03 gate last message repeated 2392 times

вывода tcpdump'а уже нет

"UDP запросы грузят проц и валят сервер"
Отправлено Pahanivo , 10-Ноя-10 18:54 
> Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете.
> Научитесь дочитывать предложение до конца

это у вас такой стиль изложения как будто русский язык в школе прогуливали
>> думаю? дак сервера уже два?
> Их изначально было два. Надо внимательно тему читать.

ткните меня идиота носом в то место, где четко сказано что у вас два сервера
надо четко излагать свои мысли

>[оверквотинг удален]
> in via vlan202
> Nov  8 13:35:02 gate last message repeated 14637 times
> Nov  8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
> in via vlan202
> Nov  8 13:35:03 gate last message repeated 136 times
> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600
> Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
> in via vlan202
> Nov  8 13:35:03 gate last message repeated 2392 times

таких клиентов фильтровать наглухо до просветления
> вывода tcpdump'а уже нет

"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 10-Ноя-10 19:18 
>> Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете.
>> Научитесь дочитывать предложение до конца
> это у вас такой стиль изложения как будто русский язык в школе
> прогуливали
>>> думаю? дак сервера уже два?
>> Их изначально было два. Надо внимательно тему читать.
> ткните меня идиота носом в то место, где четко сказано что у
> вас два сервера
> надо четко излагать свои мысли

Ну хорошо, не будем превращать тему в наезды друг на друга. Извините за грубость.

>[оверквотинг удален]
>> Nov  8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
>> in via vlan202
>> Nov  8 13:35:03 gate last message repeated 136 times
>> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600
>> Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
>> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
>> in via vlan202
>> Nov  8 13:35:03 gate last message repeated 2392 times
> таких клиентов фильтровать наглухо до просветления
>> вывода tcpdump'а уже нет

Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации, как защищаться от UDP атак. Тем более что эта не первая атака от этого клиента

"UDP запросы грузят проц и валят сервер"
Отправлено reader , 10-Ноя-10 21:50 
http://forum.nag.ru/forum/lofiversion/index.php?t12002.html
"UDP запросы грузят проц и валят сервер"
Отправлено Pahanivo , 10-Ноя-10 23:10 
> Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации,
> как защищаться от UDP атак. Тем более что эта не первая

1) объяснить людям что они идиоты - вообще интересна причина атаки - вскрыли сервак?
2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и входящие, все остальное - дроп
3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо канал загнется, либо машина )
можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами (если сетевух поддерживает) - ну а вообще гуглить по вопросам секурити и тюнинга
> атака от этого клиента

"UDP запросы грузят проц и валят сервер"
Отправлено dizen , 11-Ноя-10 11:09 
>> Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации,
>> как защищаться от UDP атак. Тем более что эта не первая
> 1) объяснить людям что они идиоты - вообще интересна причина атаки -
> вскрыли сервак?
> 2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и
> входящие, все остальное - дроп

У меня около 20-ти внешних клиентов, которым я даю Интернет. Как-то лень под каждого настраивать фаервол. Но под некоторых наверное придеться.
> 3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо
> канал загнется, либо машина )
> можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами

Где-то читал что сетевухи реалтек плохо работают с Device_polling. Попробую еще поискать хорошую PCI сетевуху. Может посоветуете какую PCI плату еще можно купить, а то уже все PCI-express