forum.opennet.ru - "Фильтрация udp пакетов с помощью iptables" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Фильтрация udp пакетов с помощью iptables"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Фильтрация udp пакетов с помощью iptables"	+/–
Сообщение от mariocarver (ok) on 01-Янв-14, 19:16
Здравствуйте. В последнее время очень часто идут атаки на порт 3366 по UDP протоколу. Пример вывода tcpdump dst port 3366: 18:49:41.636345 IP 14.139.58.67.chargen > ubuntu.3366: UDP, length 5187 18:49:41.636482 IP 87.255.236.26.chargen > ubuntu.3366: UDP, length 4535 18:49:41.636727 IP host-186-5-56-146.telconet.net.chargen > ubuntu.3366: UDP, length 6054 18:49:41.637463 IP osc.v-al.ru.chargen > ubuntu.3366: UDP, length 5046 18:49:41.638038 IP 95.181.110.203.chargen > ubuntu.3366: UDP, length 2432 18:49:41.638184 IP Ip-77-220-80-12.internetone.it.chargen > ubuntu.3366: UDP, length 3567 Важной особенностью есть то, что у всех хостов имеется chargen. Пробывал дропать так: -A INPUT -m string --string "chargen" --algo kmp --to 65535 -j DROP Но, увы, не помогает, всё равно идут входящие пакеты. Что можете порекомендовать ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Фильтрация udp пакетов с помощью iptables, aaa, 19:52 , 01-Янв-14, (1) +1
Фильтрация udp пакетов с помощью iptables, Дядя_Федор, 21:56 , 01-Янв-14, (2)
Фильтрация udp пакетов с помощью iptables, ALex_hha, 02:18 , 02-Янв-14, (3)

Фильтрация udp пакетов с помощью iptables, billybons2006, 15:25 , 11-Апр-14, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Фильтрация udp пакетов с помощью iptables" +1 +/–

Сообщение от aaa (??) on 01-Янв-14, 19:52

>[оверквотинг удален]
> 6054
> 18:49:41.637463 IP osc.v-al.ru.chargen > ubuntu.3366: UDP, length 5046
> 18:49:41.638038 IP 95.181.110.203.chargen > ubuntu.3366: UDP, length 2432
> 18:49:41.638184 IP Ip-77-220-80-12.internetone.it.chargen > ubuntu.3366: UDP, length
> 3567
> Важной особенностью есть то, что у всех хостов имеется chargen.
> Пробывал дропать так:
> -A INPUT -m string --string "chargen" --algo kmp --to 65535 -j DROP
> Но, увы, не помогает, всё равно идут входящие пакеты. Что можете порекомендовать
> ?
chargen -- это имя порта источника, порт - 19
iptables -I INPUT 1 -p udp -s !"не моя сеть" --sport 19 --dport 3366 -j DROP
модифицируйте на свой вкус

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Фильтрация udp пакетов с помощью iptables" +/–

Сообщение от Дядя_Федор on 01-Янв-14, 21:56

На сетевой интерфейс они все равно попадут. Если Вы об этом. Будут блокироваться файрволлом уже ПОСЛЕ прихода на сетевой интерфейс. Или как Вы себе представляете механизм блокировки iptables?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Фильтрация udp пакетов с помощью iptables" +/–

Сообщение от ALex_hha (ok) on 02-Янв-14, 02:18

А что у вас на порту 3366?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Фильтрация udp пакетов с помощью iptables" +/–

Сообщение от billybons2006 (ok) on 11-Апр-14, 15:25

> А что у вас на порту 3366?
Действительно, что? А то посылаем пакеты уже который день, а вы их блокируете, оказывается. Мы возмущены!
Или вопрос был с точки зрения того, не может ли этот трафик быть ответом на нечто, что генерит сам сервер?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтрация udp пакетов с помощью iptables"	+1 +/–
Сообщение от aaa (??) on 01-Янв-14, 19:52
>[оверквотинг удален] > 6054 > 18:49:41.637463 IP osc.v-al.ru.chargen > ubuntu.3366: UDP, length 5046 > 18:49:41.638038 IP 95.181.110.203.chargen > ubuntu.3366: UDP, length 2432 > 18:49:41.638184 IP Ip-77-220-80-12.internetone.it.chargen > ubuntu.3366: UDP, length > 3567 > Важной особенностью есть то, что у всех хостов имеется chargen. > Пробывал дропать так: > -A INPUT -m string --string "chargen" --algo kmp --to 65535 -j DROP > Но, увы, не помогает, всё равно идут входящие пакеты. Что можете порекомендовать > ? chargen -- это имя порта источника, порт - 19 iptables -I INPUT 1 -p udp -s !"не моя сеть" --sport 19 --dport 3366 -j DROP модифицируйте на свой вкус
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Фильтрация udp пакетов с помощью iptables"	+/–
Сообщение от Дядя_Федор on 01-Янв-14, 21:56
На сетевой интерфейс они все равно попадут. Если Вы об этом. Будут блокироваться файрволлом уже ПОСЛЕ прихода на сетевой интерфейс. Или как Вы себе представляете механизм блокировки iptables?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

3. "Фильтрация udp пакетов с помощью iptables"	+/–
Сообщение от ALex_hha (ok) on 02-Янв-14, 02:18
А что у вас на порту 3366?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Фильтрация udp пакетов с помощью iptables"	+/–
	Сообщение от billybons2006 (ok) on 11-Апр-14, 15:25
	> А что у вас на порту 3366? Действительно, что? А то посылаем пакеты уже который день, а вы их блокируете, оказывается. Мы возмущены! Или вопрос был с точки зрения того, не может ли этот трафик быть ответом на нечто, что генерит сам сервер?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору