Подскажите, как отбиться, от некоторых пользователей было один раз такое:
Вывод tcpdump:
000087 IP 10.10.1.30.4919 > static.vit.com.tr.40: UDP, length 1024
000088 IP 10.10.1.30.4920 > 188.124.5.124.whois++: UDP, length 1024
000464 IP 10.10.1.30.4921 > 188.124.5.124.smtp: UDP, length 1024
000074 IP 10.10.1.30.4922 > 188.124.15.237.whois++: UDP, length 1024
000089 IP 10.10.1.30.4923 > 188.124.5.113.telnet: UDP, length 1024
000089 IP 10.10.1.30.4924 > 188.124.15.180.netrjs-2: UDP, length 1024
000088 IP 10.10.1.30.4925 > static.vit.com.tr.deos: UDP, length 1024
000088 IP 10.10.1.30.4927 > 188.124.7.243.35: UDP, length 1024
000090 IP 10.10.1.30.4926 > 188.124.15.237.57: UDP, length 1024
000183 IP 10.10.1.30.4928 > static.vit.com.tr.xns-auth: UDP, length 1024
000090 IP 10.10.1.30.4929 > static.vit.com.tr.dsp: UDP, length 1024
000087 IP 10.10.1.30.4930 > 93.186.127.3.domain: 36318 updateD [b2&3=0x5043] [24145a] [13167q] [31168n] [53945au][|domain]
000089 IP 10.10.1.30.4931 > 188.124.7.243.tftp: 1024 tftp-#31463
000088 IP 10.10.1.30.4932 > static.vit.com.tr.whois++: UDP, length 1024
000088 IP 10.10.1.30.4933 > 188.124.15.180.57: UDP, length 1024
000090 IP 10.10.1.30.4934 > static.vit.com.tr.vettcp: UDP, length 1024
000087 IP 10.10.1.30.4935 > static.vit.com.tr.nsw-fe: UDP, length 1024
000088 IP 10.10.1.30.4936 > 188.124.15.241.graphics: UDP, length 1024
000089 IP 10.10.1.30.4937 > static.vit.com.tr.tftp: 1024 tftp-#49204
000088 IP 10.10.1.30.4938 > 188.124.7.243.re-mail-ck: UDP, length 1024
000147 IP 10.10.1.30.4939 > 188.124.5.113.graphics: UDP, length 1024
000088 IP 10.10.1.30.4940 > static.vit.com.tr.netrjs-3: UDP, length 1024
000096 IP 10.10.1.30.4941 > 188.124.5.124.rlp: UDP, length 1024
000088 IP 10.10.1.30.4942 > 188.124.5.124.30: UDP, length 1024
000089 IP 10.10.1.30.4943 > 188.124.15.237.mpm-snd: UDP, length 1024
000088 IP 10.10.1.30.4944 > static.vit.com.tr.57: UDP, length 1024
000088 IP 10.10.1.30.4945 > 188.124.15.180.nicname: UDP, length 1024
000089 IP 10.10.1.30.4946 > 188.124.5.113.nameserver: UDP, length 1024
000507 IP 10.10.1.30.4947 > 188.124.15.237.isi-gl: UDP, length 1024
000133 IP 10.10.1.30.4948 > 188.124.7.243.graphics: UDP, length 1024
000088 IP 10.10.1.30.4949 > static.vit.com.tr.graphics: UDP, length 1024
000088 IP 10.10.1.30.4950 > static.vit.com.tr.sql*net: UDP, length 1024
000238 IP 10.10.1.30.4951 > 93.186.127.3.60: UDP, length 1024
000228 IP 10.10.1.30.4952 > 188.124.7.243.msg-icp: UDP, length 1024
Пинг до сервера с 1мс увеличивался до 25-35мс, инет тупил ужасно.
Звонок пользователю, конечно все разруливал, но охота как-то перестраховаться от подобного.
По словам пользователей они ничего не делали(ни торентом не пользуются, ни скайпом, ни аськой),
но после звонка почему-то UDP - flood прекращался, на мое предложение зайти к ним домой и поставить на шару
антивирус и аутпост, мне вежливо почему-то отказывали :).
Первый раз сталкиваюсь с подобными проблемами, и хотелось бы совета бывалых.
Хотел сначала добавить на пользователя :
iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j LOG --log-prefix «LIMIT :»
iptables -A FORWARD -p tcp -s 10.10.1.30 --tcp-flags SYN,ACK,FIN SYN -m state --state NEW -j DROP
Но для данного примера это не поможет, и лучше думаю будет следующие:
iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -m limit --limit 30/second --limit-burst 5 -j ACCEPT
iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j LOG
iptables -A FORWARD -s 10.10.1.30 -m conntrack --ctstate NEW -j DROP
Поможет ли это?
Ось gentoo, iptables 1.4.3, kernel 2.6.30.
Ответ на:
комментарий
от vadik
Ответ на:
комментарий
от hizel
Ответ на:
комментарий
от someday
Ответ на:
комментарий
от nnz
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.