Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Sécurité flood UPD ???

flood UPD ???

3 réponses
Avatar
xavier
Bonjour,

Ce matin ma passerelle ne fonctionnait plus : no space left on device

Je regarde où peut se trouver le coupable : il s'agit des logs ipfilter,
qui ont enflé démesurément, avec des tonnes de lignes comme ceci
(192.168.1.5 est l'adresse de l'interface reliée au routeur ADSL) :

> b 217.225.200.68,3628 -> 192.168.1.5,25283 PR udp len 20 46 IN
> b 200.95.23.203,39113 -> 192.168.1.5,25283 PR udp len 20 46 IN
> b 81.36.88.217,1041 -> 192.168.1.5,24534 PR udp len 20 46 IN
> b 203.217.45.151,4591 -> 192.168.1.5,17518 PR udp len 20 46 IN
> b 217.85.166.244,65221 -> 192.168.1.5,25025 PR udp len 20 46 IN
> b 64.164.1.150,1130 -> 192.168.1.5,14490 PR udp len 20 46 IN
> b 220.255.148.5,1037 -> 192.168.1.5,25283 PR udp len 20 46 IN
> b 213.23.11.34,1051 -> 192.168.1.5,21207 PR udp len 20 46 IN
> b 80.239.63.35,1099 -> 192.168.1.5,25025 PR udp len 20 46 IN
> b 80.33.90.32,1039 -> 192.168.1.5,29659 PR udp len 20 46 IN
> b 212.80.239.30,10817 -> 192.168.1.5,15933 PR udp len 20 34 IN
> b 80.100.18.23,47367 -> 192.168.1.5,19254 PR udp len 20 46 IN
> b 80.116.146.237,1027 -> 192.168.1.5,17240 PR udp len 20 34 IN
> b 203.217.45.151,4591 -> 192.168.1.5,17518 PR udp len 20 46 IN
> b 64.164.1.150,1130 -> 192.168.1.5,14490 PR udp len 20 46 IN
> b 217.85.166.244,65221 -> 192.168.1.5,25025 PR udp len 20 46 IN
> b 220.255.148.5,1037 -> 192.168.1.5,25283 PR udp len 20 46 IN
> b 81.36.88.217,1041 -> 192.168.1.5,24534 PR udp len 20 46 IN
> b 213.23.11.34,1051 -> 192.168.1.5,21207 PR udp len 20 46 IN
> b 80.33.90.32,1039 -> 192.168.1.5,29659 PR udp len 20 46 IN
> b 80.100.18.23,47367 -> 192.168.1.5,19254 PR udp len 20 46 IN
> b 172.182.216.103,3214 -> 192.168.1.5,25025 PR udp len 20 46 IN
> b 203.217.45.151,4591 -> 192.168.1.5,28543 PR udp len 20 46 IN
> b 81.202.38.53,1034 -> 192.168.1.5,12705 PR udp len 20 46 IN
> b 220.255.148.5,1037 -> 192.168.1.5,25283 PR udp len 20 46 IN
> b 217.85.166.244,65221 -> 192.168.1.5,25025 PR udp len 20 46 IN

(j'ai enlevé l'entête de la ligne. Il y en a en moyenne 5 ou 6 par seconde
comme ça)

A titre indicatif :
[root@arnor log]# ipfstat -nhio | grep block | sort -rn | head -1
2329000 @67 block in log from any to any

Je précise, car je l'ai vérifié, que ces paquets n'ont pas de rapport avec
des connections établies pour un logiciel p2p.

Et euh ... je dois être un peu bête, mais j'arrive pas à capter ces
paquets avec un "tcpdump -i ep0 udp and len=20"

Quelqu'un a une idée du pourquoi du comment de la chose ?

Merci,

--
Xavier HUMBERT - Systemes et Reseaux - INJEP - MJENR
Signaler un problème avec ce contenu

3 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
xavier
Xavier HUMBERT wrote:

Et euh ... je dois être un peu bête, mais j'arrive pas à capter ces
paquets avec un "tcpdump -i ep0 udp and len "


Bon, en fait si, j'y suis arrivé. Voilà la tête de ces paquets

12:45:50.389575 217.132.163.1.4851 > 192.168.1.5.15933: udp 18
0x0000 4500 002e a4f7 0000 7211 6594 d984 a301 E.......r.e.....
0x0010 c0a8 0105 12f3 3e3d 001a 98fc e39a 7009 ......>=......p.
0x0020 271e 7584 3bd7 579b 50e1 ed15 15a9 '.u.;.W.P.....
12:45:51.421185 217.132.163.1.4851 > 192.168.1.5.15933: udp 18
0x0000 4500 002e a501 0000 7211 658a d984 a301 E.......r.e.....
0x0010 c0a8 0105 12f3 3e3d 001a 2133 e39a 3a00 ......>=..!3..:.
0x0020 9171 14cd fee2 caab 3179 f844 97fc .q......1y.D..

Ca dit quelque chose à quelqu'un ?

Merci,

--
Xavier HUMBERT - Systemes et Reseaux - INJEP - MJENR

Avatar
xavier
Bon, après décorticage du paquet UDP

0x0010 12f3 3e3d 001a 2133 e39a 3a00 ......>=..!3..:.
0x0020 9171 14cd fee2 caab 3179 f844 97fc .q......1y.D..

On trouve des paquets de 26 octets, dont le premier octet de données est
0xe39a

Muni de ces rensignements, mon ami gougueule m'a sorti ça :

<http://mail.gnu.org/archive/html/mldonkey-bugs/2002-09/msg00059.html>

Il s'agirait donc de vieilles versions de MLDonkey qui pulvérisent tous
ces paquets aberrants sur le réseau.

Ce n'est donc pas une attaque, mais ça se transforme en DOS
involontaire.

Et je ne vois pas comment faire cesser ça ...

XAv
--
Xavier HUMBERT - Systemes et Reseaux - INJEP - MJENR
Avatar
Samuel
Et je ne vois pas comment faire cesser ça ...

XAv


Salut,

Si je ne dis pas de bêtises :

iptables -N LOG_DROP
iptables -A LOG_DROP -m limit --limit 10/h --limit-burst 10 -j LOG
--log-prefix '[IPTABLES DROP] : '

iptables -A OUTPUT -j LOG_DROP
iptables -A FORWARD -j LOG_DROP

A faire aussi pour toutes les autres règles !

A+
Samuel.