web-dev-qa-db-ja.com

UDPフラッドからの保護

私のサーバーの1つが、ランダムなポートでudpパケットで溢れています。

12:11:54.190442 IP 182.48.38.227.60173 > localhost.51523: UDP, length 1
12:11:54.190447 IP 182.48.38.227.60173 > localhost.23769: UDP, length 1
12:11:54.190560 IP 182.48.38.227.60173 > localhost.4655: UDP, length 1
12:11:54.190564 IP 182.48.38.227.60173 > localhost.13002: UDP, length 1
12:11:54.190685 IP 182.48.38.227.60173 > localhost.52670: UDP, length 1
12:11:54.190690 IP 182.48.38.227.60173 > localhost.21266: UDP, length 1
12:11:54.190696 IP 182.48.38.227.60173 > localhost.7940: UDP, length 1
12:11:54.190810 IP 182.48.38.227.60173 > localhost.35950: UDP, length 1
12:11:54.190818 IP 182.48.38.227.60173 > localhost.62370: UDP, length 1
12:11:54.190828 IP 182.48.38.227.60173 > localhost.28225: UDP, length 1
12:11:54.190935 IP 182.48.38.227.60173 > localhost.56093: UDP, length 1
12:11:54.190939 IP 182.48.38.227.60173 > localhost.54250: UDP, length 1
12:11:54.190941 IP 182.48.38.227.60173 > localhost.15275: UDP, length 1
12:11:54.190948 IP 182.48.38.227.60173 > localhost.28750: UDP, length 1

私はこれらをたくさん持っています。システムがudpパケットを取得すると、アプリケーションがそれを処理するかどうかをチェックし、そうでない場合は、パケットを送り返します。これを防ぐために、UDPのブラックホールをオンにしました。

net.inet.udp.blackhole=1

Pf(パケットフィルター)ですべての攻撃者をブロックすることを追加する必要があり、それは役立つようですが、彼はいくつかのボットネットにアクセスできるようで、靴下を変更するように送信元IPアドレスを変更しますOR彼はパケットのソースIPをスプーフィングしているだけです。

とにかく、攻撃者はまだ私のサーバーを氾濫させることができ、私はそれから防御する方法がわかりません。

助けていただければ幸いです。

Graph showing incomming packets (you can see when the attack begins)

PS。ハードウェアファイアウォールを買う余裕はありません;)

2
Balon

重要なデータはここにあります:

length 1

つまり、誰かがアップストリームの負荷を低く抑えて、ホストからより大きな応答パケットを誘発しようとしている可能性があります。 IP送信元アドレス(182.48.38.227)はおそらく偽造されているため、それ自体が攻撃の犠牲になります。

UDPの負荷が原因でネットワークの輻輳が発生している場合、影響を軽減する唯一のチャンスは、これらのUDPパケットがネットワークに転送されないようにフィルタールールを設定するようにアップストリームプロバイダーに依頼することです。

2
the-wabbit