Назад | Перейти на главную страницу

Защита от UDP-флуда

Один из моих серверов переполняется пакетами UDP на случайных портах.

12:11:54.190442 IP 182.48.38.227.60173 > localhost.51523: UDP, length 1
12:11:54.190447 IP 182.48.38.227.60173 > localhost.23769: UDP, length 1
12:11:54.190560 IP 182.48.38.227.60173 > localhost.4655: UDP, length 1
12:11:54.190564 IP 182.48.38.227.60173 > localhost.13002: UDP, length 1
12:11:54.190685 IP 182.48.38.227.60173 > localhost.52670: UDP, length 1
12:11:54.190690 IP 182.48.38.227.60173 > localhost.21266: UDP, length 1
12:11:54.190696 IP 182.48.38.227.60173 > localhost.7940: UDP, length 1
12:11:54.190810 IP 182.48.38.227.60173 > localhost.35950: UDP, length 1
12:11:54.190818 IP 182.48.38.227.60173 > localhost.62370: UDP, length 1
12:11:54.190828 IP 182.48.38.227.60173 > localhost.28225: UDP, length 1
12:11:54.190935 IP 182.48.38.227.60173 > localhost.56093: UDP, length 1
12:11:54.190939 IP 182.48.38.227.60173 > localhost.54250: UDP, length 1
12:11:54.190941 IP 182.48.38.227.60173 > localhost.15275: UDP, length 1
12:11:54.190948 IP 182.48.38.227.60173 > localhost.28750: UDP, length 1

У меня их много. Я знаю, что если система получит пакет udp, она проверит, хочет ли какое-либо приложение его обработать, если нет, оно отправит пакет обратно. Чтобы предотвратить это, я включил черную точку для udp.

net.inet.udp.blackhole=1

Я должен добавить, что я блокирую каждого злоумышленника с помощью моего pf (фильтра пакетов), и это, кажется, помогает, но он, похоже, имеет доступ к некоторому ботнету и меняет исходные IP-адреса, как я меняю свои носки, ИЛИ он просто подделывает исходный IP-адрес пакетов.

В любом случае злоумышленник все еще может затопить мой сервер, и я не знаю, как от него защититься.

Буду признателен за любую помощь.

PS. Я не могу позволить себе аппаратный брандмауэр;)

Важнейшие данные здесь:

length 1

Это означает, что кто-то, вероятно, пытается снизить нагрузку на исходящий поток, чтобы вызвать большие пакеты ответов от вашего хоста. IP-адрес источника (182.48.38.227), вероятно, подделан и, следовательно, сам является жертвой атаки.

Если вы испытываете перегрузку сети из-за нагрузки UDP, ваш единственный шанс смягчить последствия - это попросить вашего вышестоящего провайдера настроить правило фильтрации, чтобы запретить пересылку этих UDP-пакетов в вашу сеть.