1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

Xử lý khi server bị UDP FLood

Discussion in 'Guidelines' started by Admin, May 16, 2014.

  1. Admin

    Admin Administrator Staff Member

    1,541
    416
    0
    Yahoo! Messenger:
    Yahoo Messager
    Facebook:
    Facebook Profile
    Phương án được sử dụng trên máy linux Centos 6
    Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.
    UDP flood có thể được nhận diện thông qua câu lệnh:
    Code:
    netstat -n -p
    Sau khi gõ câu lệnh trên, thông tin sẽ hiện ra rất nhiều out connection đến server khác, cổng 53.
    Trong trường hợp này, có thể kết luận server đang bị flood UDP
    Cách xử lý như sau:
    Config iptables với 2 câu lệnh sau:
    Code:
    iptables -A INPUT -p udp -m udp --dport 20100:20500 -m state --state NEW -m recent --set --name DEFAULT --rsource
    iptables -A INPUT -p udp -m udp --dport 20100:20500 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --name DEFAULT --rsource -j DROP
    
    2 câu lệnh trên sẽ giới hạn request UDP đến máy chủ, hạn chế tác động của UDP flood.
     

Share This Page