Здравствуйте. В последнее время очень часто идут атаки на порт 3366 по UDP протоколу.Пример вывода tcpdump dst port 3366:
18:49:41.636345 IP 14.139.58.67.chargen > ubuntu.3366: UDP, length 5187
18:49:41.636482 IP 87.255.236.26.chargen > ubuntu.3366: UDP, length 4535
18:49:41.636727 IP host-186-5-56-146.telconet.net.chargen > ubuntu.3366: UDP, length 6054
18:49:41.637463 IP osc.v-al.ru.chargen > ubuntu.3366: UDP, length 5046
18:49:41.638038 IP 95.181.110.203.chargen > ubuntu.3366: UDP, length 2432
18:49:41.638184 IP Ip-77-220-80-12.internetone.it.chargen > ubuntu.3366: UDP, length 3567Важной особенностью есть то, что у всех хостов имеется chargen.
Пробывал дропать так:
-A INPUT -m string --string "chargen" --algo kmp --to 65535 -j DROP
Но, увы, не помогает, всё равно идут входящие пакеты. Что можете порекомендовать ?
>[оверквотинг удален]
> 6054
> 18:49:41.637463 IP osc.v-al.ru.chargen > ubuntu.3366: UDP, length 5046
> 18:49:41.638038 IP 95.181.110.203.chargen > ubuntu.3366: UDP, length 2432
> 18:49:41.638184 IP Ip-77-220-80-12.internetone.it.chargen > ubuntu.3366: UDP, length
> 3567
> Важной особенностью есть то, что у всех хостов имеется chargen.
> Пробывал дропать так:
> -A INPUT -m string --string "chargen" --algo kmp --to 65535 -j DROP
> Но, увы, не помогает, всё равно идут входящие пакеты. Что можете порекомендовать
> ?chargen -- это имя порта источника, порт - 19
iptables -I INPUT 1 -p udp -s !"не моя сеть" --sport 19 --dport 3366 -j DROP
модифицируйте на свой вкус
На сетевой интерфейс они все равно попадут. Если Вы об этом. Будут блокироваться файрволлом уже ПОСЛЕ прихода на сетевой интерфейс. Или как Вы себе представляете механизм блокировки iptables?
А что у вас на порту 3366?
> А что у вас на порту 3366?Действительно, что? А то посылаем пакеты уже который день, а вы их блокируете, оказывается. Мы возмущены!
Или вопрос был с точки зрения того, не может ли этот трафик быть ответом на нечто, что генерит сам сервер?