trafico UDP muy alto - ¿Flooding?

Nombre original, so sue us. Si tienen dudas o sugerencias sobre programas particulares, discutámoslas aquí.

trafico UDP muy alto - ¿Flooding?

Notapor Arlekin el Mar Ago 07, 2007 8:00 pm

Estimados amigos del foro, tengo una situacion en la que tal vez puedan ayudarme.

Tengo unos servidores de mi laburo en un ISP. Hace un tiempo que estoy detectando un alto trafico entrante esporadico en mis servidores (en todos y a la misma hora y durante el mismo lapso de tiempo).
Mi ISP dice que esto solo pasa en mis servidores. Raro. Pero de ser cierto seria un ataque dirigido. ¿No?
El trafico entrante normal es de unos 50K. durante este incidente es de 1.2M.

Investigando un poco mas detecte que el trafico es UDP y viene desde IPs del rango 239.0.0.0-239.255.255.255. Que segun me ilustro la gente de IANA con un RFC son de uso publico dentro de una LAN, como podran ver aqui.

Estoy tratando de bloquear el trafico UDP proveniente de esas IPs mediante reglas del firewall.

Para ser exactos:
iptables -I INPUT -p udp -s 239.0.0.0/8 -m state --state NEW,RELATED,ESTABLISHED -j DROP

Lo que estoy haciendo para ver si el trafico se bloquea o no es levantar ntop y ver que me esta entrando.

No se si el hecho de levantar ntop (que pone la placa en promiscuo) hace que siga viendo el trafico UDP o en realidad la regla no lo esta bloqueando.

Espero sus comentarios.
Los muros mas dificiles de franquear son aquellos que se construyen en la mente de los hombres.
Avatarde Usuario
Arlekin
Amigo del Jefe
 
Posts: 89
Registrado: Dom Dic 10, 2006 12:42 pm

trafico UDP muy alto - ¿Flooding?

Sponsor

Sponsor
 

Re: trafico UDP muy alto - ¿Flooding?

Notapor buanzo el Mie Ago 08, 2007 8:10 am

Cada vez que armas una regla, podes ver cuantos paquetes fueron interceptados por la misma usando esto:

Código: Seleccionar todo
iptables -L INPUT -v -n


La salida de eso vas a querer pipearla a un grep o algo asi...
Avatarde Usuario
buanzo
Administrador
 
Posts: 673
Registrado: Sab Dic 09, 2006 11:17 am
Ubicación: Buanzonia (ok, Florida, Buenos Aires)

Re: trafico UDP muy alto - ¿Flooding?

Notapor Arlekin el Mie Ago 08, 2007 9:58 am

Gracias por la data. Me merezco un RTFM.

La regla no esta bloqueando ningun paquete, asi que o vienen de otro lado o no son udp.

Voy a ver que mas encuentro.

Chain INPUT (policy ACCEPT 321K packets, 27M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -- * * 239.0.0.0/8 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 DROP udp -- * * 239.0.0.0/8 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
Los muros mas dificiles de franquear son aquellos que se construyen en la mente de los hombres.
Avatarde Usuario
Arlekin
Amigo del Jefe
 
Posts: 89
Registrado: Dom Dic 10, 2006 12:42 pm

Re: trafico UDP muy alto - ¿Flooding?

Notapor Vampii el Jue Ago 09, 2007 5:18 pm

Mira, si te sirve de algo, yo como regla santa tengo el denegar CUALQUIER trafico de direcciones internas (LAN) en las placas externas (INET), ya que son direcciones invalidas....

Copio-Pego una parte minima de mi firewall, asi queda como ejemplo...

------------------------------------8< ACA EMPIEZA >8--------------------------------
#!/bin/bash
# Opciones por Distribucion
# ------------
# Carga de Modulos:
#
# Ruta de Modprobe.
MODPROBE=/sbin/modprobe
#
# Ruta de Route.
ROUTE=/sbin/route
#
# Ruta de Iptables :
#
# Si usas Slackare descomenta la siguiente linea:
IPTABLES=/usr/sbin/iptables
# Si usas Debian descomenta la siguiente linea y comenta la anterior:
#IPTABLES=/sbin/iptables
#
#------------------
# Definir variables
# -----------------
# EXT_IF interfaz conectada a internet con ip FIJA
# LAN_IF interfaz interna LAN
# EXT_IP direccion Internet externa
# LAN_IP direccion interna LAN
# ANY_RED Todas todas las redes
EXT_IF=eth0
LAN_IF=eth1
EXT_IP=207.68.172.246
LAN_IP=10.1.253.253
LOO_RED=127.0.0.0/8
LAN_RED=10.1.0.0/16

# Eliminamos las reglas anteriores
## Establecemos las reglas por defecto y comenzamos el filtrado
# Limpiamos las tablas y cadenas
echo -n "Eliminando reglas anteriores: "
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -F -t nat
$IPTABLES -Z -t nat
$IPTABLES -X -t nat

# Establecemos las reglas por defecto a DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Habilitamos PRE y POST
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
echo "listo"

echo -n "Estableciendo reglas de Redes Invalidas: "
# Denegamos las redes invalidas en la interfaz externa
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 239.0.0.0/4 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255/32 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP
echo "listo"

# Matar paquetes INVALIDOS (no ESTABLISHED, RELATED o NEW)
$IPTABLES -A INPUT -m state --state INVALID -j LINVALID
##################
# Anti-flooding o inundacion de tramas SYN.
echo -n "Anti-flooding: "
$IPTABLES -N syn-flood
$IPTABLES -A INPUT -i $EXT_IF -p tcp --syn -j syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A syn-flood -j DROP
echo "listo"
------------------------------------8< ACA TERMINA >8--------------------------------

Aunque si queres algo mas simple, esta regla permitiria SOLO las peticiones DNS y filtra todo lo demas

-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT

Ahora bien, UDP es un protocolo sin estado de conexion, digamos que los paquetes igual te siguen llegando y ocupando tu precioso ancho de banda... Tenes una posibilidad alta de sufrir un DoS (consiste en explotar de forma eficiente la forma de trabajo que tiene el protocolo UDP)
Tomado de LIBERALIA

La forma de llevar a cabo esta denegación de servicio consiste en explotar de forma eficiente la forma de trabajo que tiene el protocolo UDP. Mediante el envío de paquetes de forma masiva a dos o más máquinas (el protocolo UDP establece una relación directa entre máquinas) se consigue la saturación de la red en la que estén operando dichas máquinas y la caída de los recursos de los ordenadores atacados. Como el protocolo UDP no tienen mecanismos de protección frente a una posible congestión, pasado un periodo de tiempo, dicho protocolo se adueñará de todo el tráfico, pues tiene preferencia sobre TCP.


Suerte!
I'm powered by linux: Reg #105977
Adicto a Linux registrado #105977
Acentos omitidos intencionadamente
Faltas ortograficas puestas aleatoriamente
Imagen
Avatarde Usuario
Vampii
Amigo del Jefe
 
Posts: 183
Registrado: Lun Dic 11, 2006 4:49 pm
Ubicación: Argentonia

Re: trafico UDP muy alto - ¿Flooding?

Notapor buanzo el Dom Ago 12, 2007 4:53 pm

Arlekin escribió:Gracias por la data. Me merezco un RTFM.

La regla no esta bloqueando ningun paquete, asi que o vienen de otro lado o no son udp.


Los 239/8 son IPs del protocolo multicast....

No todo es unicast en tu red ;)

Se te ocurrio probar? "whois 239.0.0.0"... fijate lo que te dice :)

Investiga por ese lado....
http://en.wikipedia.org/wiki/Multicast

Vaya uno a saber por que tenes tanto flood de multicast.

Yo que vos, capturo todo el trafico durante esos bursts en un pcap dump y despues lo analizo con wireshark.
Avatarde Usuario
buanzo
Administrador
 
Posts: 673
Registrado: Sab Dic 09, 2006 11:17 am
Ubicación: Buanzonia (ok, Florida, Buenos Aires)

Re: trafico UDP muy alto - ¿Flooding?

Notapor Arlekin el Jue Ago 23, 2007 1:16 pm

Buanzo:

Para serte sincero no entendi mucho del enlace de wikipedia. Le voy a dar un par de lecturas mas. No entiendo que tiene que estar haciendo ese trafico en mi pobre tarjeta de red.

Hice lo que me dijiste del dump. (Con tcpdump y analizado con ethereal).

Lo que veo es mucho trafico udp desde una IP de mi ISP a una IP de la red 239.0.0.0/8

Una muestra:
Source: 200.x.x.x
Dest: 239.192.7.155
Protocol:UDP
Info: Source port: 1048 Destination port: 21897

En whois las IPs son de IANA y dice que son para usos especiales. Lo que saque en claro es que:

- La gran mayoria de estas IPs son como cualquier de uso privado. Deben usarse dentro de una red local.
- Para recibir trafico Multicast tenes que expresar tu voluntad de hacerlo. (no tengo ni la mas remota idea de como se hace esto)

Lo que no logro entender es porque estoy viendo esto ? que tiene que ver mi Pobre IP con las IPs de Source y Dest de toda la parva de paquetes que estoy viendo pasar.

Seguire buscando a ver que encuentro.

Vampii gracias por las reglas, las estoy adaptando a mi entorno.
Los muros mas dificiles de franquear son aquellos que se construyen en la mente de los hombres.
Avatarde Usuario
Arlekin
Amigo del Jefe
 
Posts: 89
Registrado: Dom Dic 10, 2006 12:42 pm

Re: trafico UDP muy alto - ¿Flooding?

Notapor Arlekin el Jue Sep 27, 2007 5:33 pm

Cada vez que tengo un rato de tiempo me pongo a mirar el link que dejo buanzo en la discusion.

y en este: http://en.wikipedia.org/wiki/IP_Multicast

Me encontre con algo al menos interesante:

In unicast routing, each router examines the destination address of an incoming packet and looks up the destination in a table to determine which interface to use in order for that packet to get closer to its destination. The source address is irrelevant to the router.

Y me surge la pregunta, si no puedo saber de donde vino, como encuentro al "culpable" ?

Bueno, despues de seguir leyendo me doy cuenta que en ningun lado dice que la source address no esta guardada en ningun lado, solo que es irrelevante.

(Me salvo el EDIT)
Los muros mas dificiles de franquear son aquellos que se construyen en la mente de los hombres.
Avatarde Usuario
Arlekin
Amigo del Jefe
 
Posts: 89
Registrado: Dom Dic 10, 2006 12:42 pm


Volver a Software

¿Quién está conectado...?

Usuarios navegando este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron