DoS от пользователя
Подскажите, как отбиться, от некоторых пользователей было один раз такое:
Вывод tcpdump:
000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024
000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024
000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024
000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024
000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024
000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024
000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024
000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024
000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024
000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024
000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024
000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain]
000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463
000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024
000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024
000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024
000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024
000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024
000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204
000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024
000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024
000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024
000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024
000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024
000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024
000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024
000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024
000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024
000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024
000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024
000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024
000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024
000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024
000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024
Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно.
Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного.
По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой),
но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару
антивирус и аутпост, мне вежливо почему-то отказывали :).
Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых.
Хотел сначала добавить на пользователя :
iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix "LIMIT :"
iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP
Но для данного примера это не поможет, и лучше думаю будет следующие:
iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT
iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG
iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP
Поможет ли это?
Ось gentoo, iptables 1.4.3, kernel 2.6.30.
- Для комментирования войдите или зарегистрируйтесь
Если вы представляете
Если вы представляете какого-то оператора или провайдера, то скорее всего в договоре с пользователем должен быть пункт о мерах обеспечения нормального функционирования сети, ограничения спама и т.п., поэтому на основании этого пункта или отфильтруйте эти порты или отключите.
P.S. правила весьма интересны, но не стоит под одну мерку все пакеты грести, раз решили ограничить пользователя.
P.S.S. Вывод tcpdump'а с параметрами
-n -nn
немного легче для разбора.Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
Ну, всё же сувсчествует
Ну, всё же сувсчествует поверие что нельзя в пололуние не пользоваться вегетпастом
Мышка дура, прав был Суворов.
vovanvster написал(а): Ну,
Не... Не шаман :)
Иначе бы знал, что (до поднятия собственного сервиса
wgetpaste
) его использование делает информативность поста весьма короткоживущей...:wq
--
Live free or die
_passer написал(а): Если вы
Пробывал эти правила, ну для серфинга ни че - нормально, вот только когда включаеш торрент, немного буксует(так как счетчик сразу переполняется), но потом торрент разгоняется.
Я иронизировал. А по сути я
Я иронизировал. А по сути я уже написал. Вы сами создаете себе задачу, в лучших традициях нации.
Единственное, что могу добавить админу провайдера: если позволяют коммутаторы доступа - флуд резать прямо там.
Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!