Fedora linux forum

nyf-nyf · #1 2010-07-15 15:04:13

Добрый день. Утром увидел, что на графике загрузки сети где-то с 3х часов ночи резко подскочил входящий трафик. До 1 метра. Вот график — http://liga-off.spb.ru/monitoring/net.php#top2
Сразу глянул в tcpdump и увидел жесткий флуд на порт 27502 (на нем стоит сервер counter-strike source).

Вывод tcpdump:

14:57:35.944258 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944261 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944264 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944266 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944269 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944271 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944273 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944276 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944278 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944280 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944283 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944285 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944288 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944290 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944292 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0
14:57:35.944297 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 18
14:57:35.944300 IP 195.24.69.67.cmmdriver > 91.204.149.149.27502: UDP, length 0

В iptables стоит -P INPUT DROP
Прописаны правила на разрешение портов 27000:28000 от любых айпи.
Вначале правил цепочки INPUT вписываю DROP на этот айпи, но ничего не получается. Пробовал по-разному — никак. Прошу вашей помощи.

На данный момент сделал такие правила, но это не помогло.

iptables -S INPUT
-P INPUT DROP
-A INPUT -m iprange --src-range 195.24.64.0-195.24.71.255 -j DROP
-A INPUT -s 195.24.69.67/32 -i eth1 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p udp -m udp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p udp -m udp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20001 -j ACCEPT
-A INPUT -p udp -m udp --dport 20001 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 27500 -j ACCEPT
-A INPUT -p udp -m udp --dport 27500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 27000:28000 -j ACCEPT
-A INPUT -p udp -m udp --dport 27000:28000 -j ACCEPT

Дальше не суть уже..

Отредактированно nyf-nyf (2010-07-15 15:04:54)

ash · #2 2010-07-15 15:42:04

Попробуй

Код:

iptables -A INPUT -p udp --dport 27502 -m length --length 0:28 -j DROP

Подробнее

nyf-nyf · #3 2010-07-15 16:03:50

Это тоже к сожалению не помогло. Читаю вашу ссылку.
P.S. Странно, что блок по айпи ничего не дает. Я начинаю думать, что что-то с правилами не то. Хотя в ssh с другого айпи зайти мне не дает, что говорит о том, что все-таки фаервол работает

nyf-nyf · #4 2010-07-15 16:16:15

Еще такой вопрос. Сделал таким образом, как описано на srcds.com
$IPTABLES -N logattacker
$IPTABLES -A logattacker -j LOG
$IPTABLES -A logattacker -j DROP
$IPTABLES -A INPUT -p udp --dport 27502 -m length --length 0:28 -m limit --limit 2/sec -j logattacker

При этом в iptables -L -v -n видно

447 12516 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
447 12516 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Как я понимаю он ловит пакеты.
Вопрос про tcpdump. Он должен выводить соединения, если фаервол дропает пакеты или нет?
tcpdump по прежнему выводит этот флуд.

И по sysusage такой же вопрос. Если атакующие пакеты дропает, то трафик перестанет учитываться этих пакетов или по-прежнему будет прыгать

Отредактированно nyf-nyf (2010-07-15 16:20:06)

ash · #5 2010-07-15 16:30:12

Команда по сути та же, только сделано логирование атаки.
Если ничего не путаю, то tcpdump получает пакеты до iptables.
И да, вот

nyf-nyf · #6 2010-07-15 16:32:59

Понял, спасибо огромное за помощь!

ash · #7 2010-07-15 16:34:21

nyf-nyf написал:
P.S. Странно, что блок по айпи ничего не дает.

Из того топика:

remember that source addresses of UDP are unreliable. any half-decent attacker would spoof the source address to avoid detection. if someone really wants do make a DoS attack he does not *want* any reply of the target server, so he can simply specify a wrong source address in the UDP packet. there is no protection against that.

Fedora linux forum

#1 2010-07-15 15:04:13

Не получается заблокировать ip в iptables. Прошу помощи.

#2 2010-07-15 15:42:04

Re: Не получается заблокировать ip в iptables. Прошу помощи.

Код:

#3 2010-07-15 16:03:50

Re: Не получается заблокировать ip в iptables. Прошу помощи.

#4 2010-07-15 16:16:15

Re: Не получается заблокировать ip в iptables. Прошу помощи.

#5 2010-07-15 16:30:12

Re: Не получается заблокировать ip в iptables. Прошу помощи.

#6 2010-07-15 16:32:59

Re: Не получается заблокировать ip в iptables. Прошу помощи.

#7 2010-07-15 16:34:21

Re: Не получается заблокировать ip в iptables. Прошу помощи.

nyf-nyf написал: