forum.opennet.ru - "UDP запросы грузят проц и валят сервер" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"UDP запросы грузят проц и валят сервер"

Форум Информационная безопасность (Обнаружение и предотвращение атак)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"UDP запросы грузят проц и валят сервер"	+/–
Сообщение от dizen (ok) on 09-Ноя-10, 17:31
Шлюз - FreeBSD 7.1, за шлюзом моя сетка с реальными ИР адресами. С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80. На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не отвечает. Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может завалить шлюз, при этом веб сервер работает? ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около 15 вланов и 100 клиентов.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

UDP запросы грузят проц и валят сервер, Pahanivo, 21:26 , 09-Ноя-10, (1)

UDP запросы грузят проц и валят сервер, dizen, 12:42 , 10-Ноя-10, (2)

UDP запросы грузят проц и валят сервер, Pahanivo, 14:19 , 10-Ноя-10, (3)

UDP запросы грузят проц и валят сервер, dizen, 14:42 , 10-Ноя-10, (4)

UDP запросы грузят проц и валят сервер, Pahanivo, 15:15 , 10-Ноя-10, (5)

UDP запросы грузят проц и валят сервер, dizen, 15:53 , 10-Ноя-10, (6)

UDP запросы грузят проц и валят сервер, Pahanivo, 16:09 , 10-Ноя-10, (7)

UDP запросы грузят проц и валят сервер, dizen, 16:37 , 10-Ноя-10, (8)

UDP запросы грузят проц и валят сервер, Pahanivo, 18:54 , 10-Ноя-10, (9)

UDP запросы грузят проц и валят сервер, dizen, 19:18 , 10-Ноя-10, (10)

UDP запросы грузят проц и валят сервер, reader, 21:50 , 10-Ноя-10, (11)
UDP запросы грузят проц и валят сервер, Pahanivo, 23:10 , 10-Ноя-10, (12)

UDP запросы грузят проц и валят сервер, dizen, 11:09 , 11-Ноя-10, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от Pahanivo (ok) on 09-Ноя-10, 21:26

> Шлюз - FreeBSD 7.1, за шлюзом моя сетка с реальными ИР адресами.
> С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться
> множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80.
> На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не
> отвечает.
> Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который
> генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку
> может завалить шлюз, при этом веб сервер работает?
запросто
> ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около
> 15 вланов и 100 клиентов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от dizen (ok) on 10-Ноя-10, 12:42

>[оверквотинг удален]
>> С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться
>> множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80.
>> На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не
>> отвечает.
>> Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который
>> генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку
>> может завалить шлюз, при этом веб сервер работает?
> запросто
>> ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около
>> 15 вланов и 100 клиентов.
По TCP и ICMP еще можна какие-то параметры в sysctl менять, чтобы сделать шлюз более защищенным. А как защищаться от такого рода UDP атак?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от Pahanivo (ok) on 10-Ноя-10, 14:19

вас атакует ваш собственный веб-сервер?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от dizen (ok) on 10-Ноя-10, 14:42

> вас атакует ваш собственный веб-сервер?
Не совсем мой. Клиента которому я даю Интернет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от Pahanivo (ok) on 10-Ноя-10, 15:15

> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
мотороллер не мой, я просто разместил объяву

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от dizen (ok) on 10-Ноя-10, 15:53

>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
> мотороллер не мой, я просто разместил объяву
Pahanivo, если по существу не можете говорить, то зачем сюда писать?
Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет, для шлюза совсем не имеет значения. А назвал я веб-сервер своим, потому что сеть моя и у клиента нет админа, и исправлять ошибки на клиентском веб сервере пришлось мне. Но я не хочу бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить свой шлюз.
Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки на фаерволе?
Кстати snort c правилами от Bleeding не обнаружил атаки

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от Pahanivo (ok) on 10-Ноя-10, 16:09

>>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
>> мотороллер не мой, я просто разместил объяву
> Pahanivo, если по существу не можете говорить, то зачем сюда писать?
задавайте вопросы по существу - будут соответствующие ответы
> Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет,
думаю? дак сервера уже два?
man tcpdump
> для шлюза совсем не имеет значения. А назвал я веб-сервер своим,
> потому что сеть моя и у клиента нет админа, и исправлять
> ошибки на клиентском веб сервере пришлось мне. Но я не хочу
> бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить
> свой шлюз.
конечно - зачем лечить баги когда есть костыли
> Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки
> на фаерволе?
каких udp запросов? может пакетов?
надо хотябы проанализировать что там идет
> Кстати snort c правилами от Bleeding не обнаружил атаки

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от dizen (ok) on 10-Ноя-10, 16:37

>>>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает?
>>> мотороллер не мой, я просто разместил объяву
>> Pahanivo, если по существу не можете говорить, то зачем сюда писать?
> задавайте вопросы по существу - будут соответствующие ответы
>> Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет,
Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете. Научитесь дочитывать предложение до конца
> думаю? дак сервера уже два?
Их изначально было два. Надо внимательно тему читать.
> man tcpdump
>> для шлюза совсем не имеет значения. А назвал я веб-сервер своим,
>> потому что сеть моя и у клиента нет админа, и исправлять
>> ошибки на клиентском веб сервере пришлось мне. Но я не хочу
>> бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить
>> свой шлюз.
> конечно - зачем лечить баги когда есть костыли
Атакующий веб-сервер не мой!!!
>> Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки
>> на фаерволе?
> каких udp запросов? может пакетов?
> надо хотябы проанализировать что там идет
>> Кстати snort c правилами от Bleeding не обнаружил атаки
Сейчас есть только такая статистика:
Nov  8 13:34:59 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:34:59 gate last message repeated 840 times
Nov  8 13:34:59 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:00 gate last message repeated 1741 times
Nov  8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:00 gate last message repeated 1943 times
Nov  8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:00 gate last message repeated 1439 times
Nov  8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:02 gate last message repeated 14637 times
Nov  8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:03 gate last message repeated 136 times
Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
Nov  8 13:35:03 gate last message repeated 2392 times
вывода tcpdump'а уже нет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от Pahanivo (ok) on 10-Ноя-10, 18:54

> Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете.
> Научитесь дочитывать предложение до конца
это у вас такой стиль изложения как будто русский язык в школе прогуливали
>> думаю? дак сервера уже два?
> Их изначально было два. Надо внимательно тему читать.
ткните меня идиота носом в то место, где четко сказано что у вас два сервера
надо четко излагать свои мысли
>[оверквотинг удален]
> in via vlan202
> Nov  8 13:35:02 gate last message repeated 14637 times
> Nov  8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
> in via vlan202
> Nov  8 13:35:03 gate last message repeated 136 times
> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600
> Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
> in via vlan202
> Nov  8 13:35:03 gate last message repeated 2392 times
таких клиентов фильтровать наглухо до просветления
> вывода tcpdump'а уже нет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от dizen (ok) on 10-Ноя-10, 19:18

>> Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете.
>> Научитесь дочитывать предложение до конца
> это у вас такой стиль изложения как будто русский язык в школе
> прогуливали
>>> думаю? дак сервера уже два?
>> Их изначально было два. Надо внимательно тему читать.
> ткните меня идиота носом в то место, где четко сказано что у
> вас два сервера
> надо четко излагать свои мысли
Ну хорошо, не будем превращать тему в наезды друг на друга. Извините за грубость.
>[оверквотинг удален]
>> Nov  8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
>> in via vlan202
>> Nov  8 13:35:03 gate last message repeated 136 times
>> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600
>> Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202
>> Nov  8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80
>> in via vlan202
>> Nov  8 13:35:03 gate last message repeated 2392 times
> таких клиентов фильтровать наглухо до просветления
>> вывода tcpdump'а уже нет
Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации, как защищаться от UDP атак. Тем более что эта не первая атака от этого клиента

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от reader (ok) on 10-Ноя-10, 21:50

http://forum.nag.ru/forum/lofiversion/index.php?t12002.html

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от Pahanivo (ok) on 10-Ноя-10, 23:10

> Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации,
> как защищаться от UDP атак. Тем более что эта не первая
1) объяснить людям что они идиоты - вообще интересна причина атаки - вскрыли сервак?
2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и входящие, все остальное - дроп
3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо канал загнется, либо машина )
можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами (если сетевух поддерживает) - ну а вообще гуглить по вопросам секурити и тюнинга
> атака от этого клиента

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "UDP запросы грузят проц и валят сервер" +/–

Сообщение от dizen (ok) on 11-Ноя-10, 11:09

>> Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации,
>> как защищаться от UDP атак. Тем более что эта не первая
> 1) объяснить людям что они идиоты - вообще интересна причина атаки -
> вскрыли сервак?
> 2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и
> входящие, все остальное - дроп
У меня около 20-ти внешних клиентов, которым я даю Интернет. Как-то лень под каждого настраивать фаервол. Но под некоторых наверное придеться.
> 3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо
> канал загнется, либо машина )
> можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами
Где-то читал что сетевухи реалтек плохо работают с Device_polling. Попробую еще поискать хорошую PCI сетевуху. Может посоветуете какую PCI плату еще можно купить, а то уже все PCI-express

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "UDP запросы грузят проц и валят сервер"	+/–
Сообщение от Pahanivo (ok) on 09-Ноя-10, 21:26
> Шлюз - FreeBSD 7.1, за шлюзом моя сетка с реальными ИР адресами. > С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться > множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80. > На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не > отвечает. > Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который > генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку > может завалить шлюз, при этом веб сервер работает? запросто > ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около > 15 вланов и 100 клиентов.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от dizen (ok) on 10-Ноя-10, 12:42
	>[оверквотинг удален] >> С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться >> множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80. >> На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не >> отвечает. >> Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который >> генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку >> может завалить шлюз, при этом веб сервер работает? > запросто >> ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около >> 15 вланов и 100 клиентов. По TCP и ICMP еще можна какие-то параметры в sysctl менять, чтобы сделать шлюз более защищенным. А как защищаться от такого рода UDP атак?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от Pahanivo (ok) on 10-Ноя-10, 14:19
	вас атакует ваш собственный веб-сервер?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от dizen (ok) on 10-Ноя-10, 14:42
	> вас атакует ваш собственный веб-сервер? Не совсем мой. Клиента которому я даю Интернет
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от Pahanivo (ok) on 10-Ноя-10, 15:15
	> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает? мотороллер не мой, я просто разместил объяву
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от dizen (ok) on 10-Ноя-10, 15:53
	>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает? > мотороллер не мой, я просто разместил объяву Pahanivo, если по существу не можете говорить, то зачем сюда писать? Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет, для шлюза совсем не имеет значения. А назвал я веб-сервер своим, потому что сеть моя и у клиента нет админа, и исправлять ошибки на клиентском веб сервере пришлось мне. Но я не хочу бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить свой шлюз. Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки на фаерволе? Кстати snort c правилами от Bleeding не обнаружил атаки
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от Pahanivo (ok) on 10-Ноя-10, 16:09
	>>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает? >> мотороллер не мой, я просто разместил объяву > Pahanivo, если по существу не можете говорить, то зачем сюда писать? задавайте вопросы по существу - будут соответствующие ответы > Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет, думаю? дак сервера уже два? man tcpdump > для шлюза совсем не имеет значения. А назвал я веб-сервер своим, > потому что сеть моя и у клиента нет админа, и исправлять > ошибки на клиентском веб сервере пришлось мне. Но я не хочу > бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить > свой шлюз. конечно - зачем лечить баги когда есть костыли > Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки > на фаерволе? каких udp запросов? может пакетов? надо хотябы проанализировать что там идет > Кстати snort c правилами от Bleeding не обнаружил атаки
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от dizen (ok) on 10-Ноя-10, 16:37
	>>>> Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может > завалить шлюз, при этом веб сервер работает? >>> мотороллер не мой, я просто разместил объяву >> Pahanivo, если по существу не можете говорить, то зачем сюда писать? > задавайте вопросы по существу - будут соответствующие ответы >> Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет, Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете. Научитесь дочитывать предложение до конца > думаю? дак сервера уже два? Их изначально было два. Надо внимательно тему читать. > man tcpdump >> для шлюза совсем не имеет значения. А назвал я веб-сервер своим, >> потому что сеть моя и у клиента нет админа, и исправлять >> ошибки на клиентском веб сервере пришлось мне. Но я не хочу >> бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить >> свой шлюз. > конечно - зачем лечить баги когда есть костыли Атакующий веб-сервер не мой!!! >> Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки >> на фаерволе? > каких udp запросов? может пакетов? > надо хотябы проанализировать что там идет >> Кстати snort c правилами от Bleeding не обнаружил атаки Сейчас есть только такая статистика: Nov 8 13:34:59 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:34:59 gate last message repeated 840 times Nov 8 13:34:59 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:00 gate last message repeated 1741 times Nov 8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:00 gate last message repeated 1943 times Nov 8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:00 gate last message repeated 1439 times Nov 8 13:35:00 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:02 gate last message repeated 14637 times Nov 8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:03 gate last message repeated 136 times Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 Nov 8 13:35:03 gate last message repeated 2392 times вывода tcpdump'а уже нет
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от Pahanivo (ok) on 10-Ноя-10, 18:54
	> Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете. > Научитесь дочитывать предложение до конца это у вас такой стиль изложения как будто русский язык в школе прогуливали >> думаю? дак сервера уже два? > Их изначально было два. Надо внимательно тему читать. ткните меня идиота носом в то место, где четко сказано что у вас два сервера надо четко излагать свои мысли >[оверквотинг удален] > in via vlan202 > Nov 8 13:35:02 gate last message repeated 14637 times > Nov 8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 > in via vlan202 > Nov 8 13:35:03 gate last message repeated 136 times > Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600 > Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 > Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 > in via vlan202 > Nov 8 13:35:03 gate last message repeated 2392 times таких клиентов фильтровать наглухо до просветления > вывода tcpdump'а уже нет
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от dizen (ok) on 10-Ноя-10, 19:18
	>> Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете. >> Научитесь дочитывать предложение до конца > это у вас такой стиль изложения как будто русский язык в школе > прогуливали >>> думаю? дак сервера уже два? >> Их изначально было два. Надо внимательно тему читать. > ткните меня идиота носом в то место, где четко сказано что у > вас два сервера > надо четко излагать свои мысли Ну хорошо, не будем превращать тему в наезды друг на друга. Извините за грубость. >[оверквотинг удален] >> Nov 8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 >> in via vlan202 >> Nov 8 13:35:03 gate last message repeated 136 times >> Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600 >> Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202 >> Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80 >> in via vlan202 >> Nov 8 13:35:03 gate last message repeated 2392 times > таких клиентов фильтровать наглухо до просветления >> вывода tcpdump'а уже нет Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации, как защищаться от UDP атак. Тем более что эта не первая атака от этого клиента
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от reader (ok) on 10-Ноя-10, 21:50
	http://forum.nag.ru/forum/lofiversion/index.php?t12002.html
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от Pahanivo (ok) on 10-Ноя-10, 23:10
	> Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации, > как защищаться от UDP атак. Тем более что эта не первая 1) объяснить людям что они идиоты - вообще интересна причина атаки - вскрыли сервак? 2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и входящие, все остальное - дроп 3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо канал загнется, либо машина ) можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами (если сетевух поддерживает) - ну а вообще гуглить по вопросам секурити и тюнинга > атака от этого клиента
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "UDP запросы грузят проц и валят сервер"	+/–
	Сообщение от dizen (ok) on 11-Ноя-10, 11:09
	>> Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации, >> как защищаться от UDP атак. Тем более что эта не первая > 1) объяснить людям что они идиоты - вообще интересна причина атаки - > вскрыли сервак? > 2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и > входящие, все остальное - дроп У меня около 20-ти внешних клиентов, которым я даю Интернет. Как-то лень под каждого настраивать фаервол. Но под некоторых наверное придеться. > 3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо > канал загнется, либо машина ) > можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами Где-то читал что сетевухи реалтек плохо работают с Device_polling. Попробую еще поискать хорошую PCI сетевуху. Может посоветуете какую PCI плату еще можно купить, а то уже все PCI-express
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору