Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 15

Temat: UDP flood, jakie porty?

  1. #1

    Domyślnie UDP flood, jakie porty?

    Piszę referat i potrzebuję informacji na temat tego, na jakie porty przeprowadza się UDP flooding. Nigdzie nie ma takiej informacji - piszą tylko, że można na losowe lub wybrane, ale nie jest podane czy jakieś konkretne, czy dowolne.
    Wnioskuję więc, że wszystko jedno jakie, ale potrzebuję się upewnić, toteż z góry dziękuję za wszelką pomoc.

  2. #2
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    W zasadzie na losowe...

    Celem ataku jest DoS maszyny(ofiary), która odpowiada na każdy wysłany przez Ciebie pakiet pakietem ICMP...
    Często towarzyszy temu ip spoofing...
    W sumie chyba dosyć łatwo się przed udp flood zabezpieczyć...

    pozdrawiam

  3. #3

    Domyślnie

    a właśnie, jak się skutecznie zabezpieczyć

  4. #4
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Reguły firewall'a...

    Np. ograniczenie ilości pakietów i porzucanie pakietów bez generowania odpowiedzi...
    W sumie wiele zależy od konkretnej sytuacji...czy masz (i ile) jakieś usługi korzystające z udp...

    pozdrawiam

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli mowa o serwerku np na linuxie to iptables ma modul 'state', wiec wystarcza jedna linijka...

    Kod:
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    Serwer bedzie reagowal tylko na polaczenia ktore sam zainicjowal... jesli teraz masz na nim powiedzmy serwer WWW to bedziesz musial otworzyc port 80 aby ludzie z zewnatrz mogli sie polaczyc
    Kod:
    # zezwalamy na zapytania do serwera WWW - dopasowanie stanu polaczenia nie jest raczej potrzebne
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT   
    # odpowiadamy tylko na polaczenia ktore sami zainicjowalismy (TCP i UDP) i ignorujemy pozostale pakiety idace do nas
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    IMHO tyle wystarcza w wiekszosci przypadkow
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Fakt stateful...

    Problemem może być jednak serwer FTP...jak nie wprowadzimy limitów to może być dupa tym bardziej, że do tego reguła --m state --state RELATED,ESTABLISHED nie bardzo będzie miała zastosowanie...dlatego myślę, że głównie zależy to od tego jakie usługi są uruchomione...proszę mnie poprawić jeśli się mylę

    W większości przypadków jest jednak tak jak mówi TQM...

    pozdrawiam

  7. #7

    Domyślnie

    co z tego, że je "olejemy" skoro i tak dotrą na nasz interface (skutecznie go zapychając)? to jest główny problem tych ataków...

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @Teeed tak - najczescie jest to zapychanie lacza, przynajmniej w domowych warunkach ale jesli serwer ma pareset mbit/sek lacza (a znalezc taki to nie problem) to zapychanie lacza floodujac pakietami UDP jest pomylka :P

    @ojciecdyrektor - FTP to nie problem, regulka nadal ma sens - trzeba tylko sie upewnic, ze masz wkompilowany conntrack do ftp, wtedy otwierasz jedynie port 21 a 'state' znajdzie reszte i bedzie wiedzial ze pakiety idace na port 20 beda wpuszczone jesli bedzie trzeba
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9

    Domyślnie

    co do ftp to jest jeszcze prostsze rozwiazanie.
    wywalic ten relikt w zapomnienie i kozystac z http lub czegos innego.

  10. #10

    Domyślnie

    UDP flood to atak łączący ze sobą dwa systemy. Pierwszy z nich przy wykorzystaniu UDP Echo (działa na porcie 7), który wysyła z powrotem przychodzące datagramy do nadawcy. Natomiast drugi jest atakiem na usługę UDP o nazwie Chargen (ang. Character Generator; działa na porcie 19), która generuje przypadkowe sekwencje znaków o różnej długości. Polega on na wysłaniu do tej usługi jak największej ilości małych pakietów UDP, na które musi ona odpowiedzieć. W rezultacie może to spowodować przeciążenie łącza. Jeżeli w jednej sieci znajdują się dwa serwery wykorzystujące usługę Chargen, atakujący może podszyć się pod adres jednego z nich i wysyłać do drugiego sekwencję znaków. W ten sposób tworzy się pętla (jeden serwer wysyła ciąg znaków, drugi odpowiada inną sekwencją i tak na zmianę), która niepotrzebnie obciąża łącze.
    W ramach zabezpieczenia i obrony, można wyłączyć porty (jeżeli są niepotrzebne i nieużywane), które wykorzystuje atak UDP flood.

    chyba to było w książce „101 zabezpieczeń przed atakami w sieci komputerowej”, autorzy: Maciej Szmit, Marek Gusta, Mariusz Tomaszewski, 2005

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj