ЗАКРЫТЬ
Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

^Место доступно для покупки - 3500 руб/мес^

Наши новости:

02-дек
17-апр
30-дек
29-дек

> Правила форума

Раздел для общения на любые темы, для которых не нашлось места в остальных разделах. Если Вашу тему можно отнести по смыслу к другому разделу, лучше создайте её там, иначе Вас накажут.

В данном форуме немного понижены требования к Общим правилам форума, а именно:
1. Информативность темы
2. Отходить от первоначального смысла темы

!
В разделе запрещено создавать темы связанные с раскруткой игровых серверов
Раскрутка Counter-Strike 1.6

Подскажите что за порт 20480?

Статус пользователя adva
сообщение 5.3.2015, 0:32
Сообщение #1


Иконка группы

Стаж: 6 лет 1 месяц

Сообщений: 2150
Благодарностей: 1221
Полезность: 1010

Меценат Меценат

[413525.533929] UDP: short packet: From 94.233.60.94:0 0/24 to 188.35.185.185:20480
[413525.534078] UDP: short packet: From 94.233.60.94:0 0/24 to 188.35.185.185:20480
[413527.171317] UDP: short packet: From 94.233.60.94:0 0/32 to 188.35.185.185:20480
[413527.332610] UDP: short packet: From 94.233.60.94:0 0/28 to 188.35.185.185:20480
[413527.332618] UDP: short packet: From 94.233.60.94:0 0/28 to 188.35.185.185:20480
[413527.332807] UDP: short packet: From 94.233.60.94:0 0/28 to 188.35.185.185:20480
[413530.259741] UDP: short packet: From 94.233.60.94:0 0/28 to 188.35.185.185:20480

[374228.727021] UDP: short packet: From 85.174.78.31:0 0/37 to 188.35.185.185:20480
[374231.936167] UDP: short packet: From 85.174.78.31:0 0/37 to 188.35.185.185:20480
[374232.936521] UDP: short packet: From 85.174.78.31:0 0/37 to 188.35.185.185:20480
[374233.229852] UDP: short packet: From 85.174.78.31:0 0/99 to 188.35.185.185:20480
[374234.645242] UDP: short packet: From 85.174.78.31:0 0/97 to 188.35.185.185:20480
[374234.645289] UDP: short packet: From 85.174.78.31:0 0/97 to 188.35.185.185:20480



такая фигня выводится через команду dmesg

убунту. Может кто знает, кто меня дрочит? Или это норма?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
Статус пользователя bot123
сообщение 5.3.2015, 0:39
Сообщение #2


Стаж: 4 года 5 месяцев

Сообщений: 236
Благодарностей: 233
Полезность: 645

adva, Если на этом порту ничего не висит, то хакер ничего не получит. Флудят видимо. Открой только нужные порты через firewall или дай бан по ip.

Отредактировал: bot123, - 5.3.2015, 0:58
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Archangel236
сообщение 5.3.2015, 7:06
Сообщение #3


Стаж: 10 лет
Город: Белая Церковь

Сообщений: 441
Благодарностей: 180
Полезность: 547

Тоже частенько проскакивает, я даж внимания не обращаю
Скрытый текст

Код
Mar  4 18:40:35 main kernel: [3315731.591513] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:35 main kernel: [3315731.682325] UDP: short packet: From 178.35.128.55:0 0/36 to local:20480
Mar  4 18:40:36 main kernel: [3315732.539135] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:36 main kernel: [3315732.648733] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:36 main kernel: [3315732.867801] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:36 main kernel: [3315733.037871] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:36 main kernel: [3315733.207494] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:37 main kernel: [3315733.419044] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:37 main kernel: [3315733.747841] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 18:40:37 main kernel: [3315733.939887] UDP: short packet: From 178.35.128.55:0 0/35 to local:20480
Mar  4 21:40:57 main kernel: [3326542.896539] UDP: short packet: From 94.233.64.147:0 0/33 to local:20480
Mar  4 23:41:11 main kernel: [3333750.553466] UDP: short packet: From 31.180.162.206:0 0/33 to local:20480
Mar  4 23:41:11 main kernel: [3333750.553502] UDP: short packet: From 31.180.162.206:0 0/33 to local:20480

Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя UnrealGame
сообщение 5.3.2015, 10:49
Сообщение #4


Стаж: 4 года 4 месяца

Сообщений: 38
Благодарностей: 21
Полезность: 383

unreal game
Мне понравилось решение отбрасывать неправильно маленькие пакеты на уровне iptables. Вот что я нашел:
Код
iptables -A INPUT -p udp -m length --length 0:32 -j DROP

Пока меня смущает значение 32, для меня было бы более понятно значение 28, надо проверять.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя adva
сообщение 5.3.2015, 16:09
Сообщение #5


Иконка группы

Стаж: 6 лет 1 месяц

Сообщений: 2150
Благодарностей: 1221
Полезность: 1010

Меценат Меценат

я дропнул короче, посмотрим... ))

iptables -I INPUT -s 85.174.78.31 -j DROP
iptables -I INPUT -s 94.233.60.94 -j DROP
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя adva
сообщение 5.3.2015, 16:15
Сообщение #6


Иконка группы

Стаж: 6 лет 1 месяц

Сообщений: 2150
Благодарностей: 1221
Полезность: 1010

Меценат Меценат

А вообще этот порт что-нибудь может использовать?
Может это раскрутки чекают?
Или игроки запросы делают чего-то.?

upd.

Last login: Thu Mar 5 17:04:10 2015 from 188.35.131.222
trias@cs:~$ netstat -an | grep 20480
trias@cs:~$

Видимо ничего не нём не висит. Значит булки можно расслабить :-)


Отредактировал: adva, - 5.3.2015, 17:35
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Archangel236
сообщение 5.3.2015, 17:37
Сообщение #7


Стаж: 10 лет
Город: Белая Церковь

Сообщений: 441
Благодарностей: 180
Полезность: 547

Цитата(adva @ 5.3.2015, 16:15) *
А вообще этот порт что-нибудь может использовать?
Может это раскрутки чекают?
Или игроки запросы делают чего-то.?

upd.

Last login: Thu Mar 5 17:04:10 2015 from 188.35.131.222
trias@cs:~$ netstat -an | grep 20480
trias@cs:~$

Видимо ничего не нём не висит. Значит булки можно расслабить :-)

_ttp://ru.adminsub.net/tcp-udp-port-finder/20480
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 5.3.2015, 17:40
Сообщение #8


Иконка группы

Стаж: 10 лет

Сообщений: 2167
Благодарностей: 2196
Полезность: 962

multiplay.ru
Весьма распространенный вид ддоса, порой под 16гбит прилетало
ps\\ Я про sport 0


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя adva
сообщение 5.3.2015, 17:46
Сообщение #9


Иконка группы

Стаж: 6 лет 1 месяц

Сообщений: 2150
Благодарностей: 1221
Полезность: 1010

Меценат Меценат

Цитата(Fire @ 5.3.2015, 18:40) *
Весьма распространенный вид ддоса, порой под 16гбит прилетало


Не подскажешь, как от этого защититься?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя UnrealGame
сообщение 5.3.2015, 17:55
Сообщение #10


Стаж: 4 года 4 месяца

Сообщений: 38
Благодарностей: 21
Полезность: 383

unreal game
Цитата(Fire @ 5.3.2015, 17:40) *
Весьма распространенный вид ддоса, порой под 16гбит прилетало


Имеется в виду что таких пакетов прилетало 16Гб или вместе с атакой в 16 Гб также были и такие пакеты? Наличие таких пакетов во время атаки очень логично, но атака такими пакетами как минимум слишком сложная, да еще и 16 Гб.

Отредактировал: UnrealGame, - 5.3.2015, 17:59
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 5.3.2015, 21:48
Сообщение #11


Иконка группы

Стаж: 10 лет

Сообщений: 2167
Благодарностей: 2196
Полезность: 962

multiplay.ru
Цитата(UnrealGame @ 5.3.2015, 19:55) *
Имеется в виду что таких пакетов прилетало 16Гб или вместе с атакой в 16 Гб также были и такие пакеты? Наличие таких пакетов во время атаки очень логично, но атака такими пакетами как минимум слишком сложная, да еще и 16 Гб.

Атака мощностью 16гбит, с разного рода пакетами, правда не всегда валидными заголовками с sport 0


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя UnrealGame
сообщение 5.3.2015, 23:00
Сообщение #12


Стаж: 4 года 4 месяца

Сообщений: 38
Благодарностей: 21
Полезность: 383

unreal game
Fire
В своем последнем сообщении я имел в виду пакеты "short packet". Спасибо за пояснение.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 6.3.2015, 10:56
Сообщение #13


Иконка группы

Стаж: 10 лет

Сообщений: 2167
Благодарностей: 2196
Полезность: 962

multiplay.ru
Цитата(UnrealGame @ 6.3.2015, 1:00) *
Fire
В своем последнем сообщении я имел в виду пакеты "short packet". Спасибо за пояснение.

short packet если серьезное обычно прилетает с диким pps, под 800к


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя UnrealGame
сообщение 6.3.2015, 12:57
Сообщение #14


Стаж: 4 года 4 месяца

Сообщений: 38
Благодарностей: 21
Полезность: 383

unreal game
Мне кажется, что опять возникло некое расхождение терминологий, автор темы говорит о сообщениях:
Цитата
[413527.332807] UDP: short packet: From 94.233.60.94:0 0/28 to 188.35.185.185:20480


Которые означают, что приходят пакеты в UDP-заголовке которых размер не совпадает с реальным размером пакета. Это можно посмотреть заглянув в исходники ядра (kernel) тут Приведу тут кусок кода, который подтверждает мои слова:
Код
    if (ulen > skb->len)
        goto short_packet;

    if (proto == IPPROTO_UDP) {
        /* UDP validates ulen. */
        if (ulen < sizeof(*uh) || pskb_trim_rcsum(skb, ulen))
            goto short_packet;
        uh = udp_hdr(skb);
    }


Вы же, в своем примере:
Цитата(Fire @ 6.3.2015, 10:56) *
short packet если серьезное обычно прилетает с диким pps, под 800к

я предполагаю, приводите пример атак пакетами минимального размера но сформированными правильно (без нарушений правил протокола UDP). Мне кажется, DDOS атака пакетами, которые описывает ТМ (создателем темы) не самый рациональный метод DDOS атаки.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 6.3.2015, 13:15
Сообщение #15


Иконка группы

Стаж: 10 лет

Сообщений: 2167
Благодарностей: 2196
Полезность: 962

multiplay.ru
Цитата(UnrealGame @ 6.3.2015, 13:57) *

Я все это знаю, так-же как и то, что такие пакеты как и badchsm отбрасываются ядром, но сути это не меняет. При DDOSе все методы хороши, и этот не исключение, когда атака направлена на забивание канала или выедание irq, особенно в случае с серверами где <4 аппаратных очередей в сетевой.
Если я не ошибаюсь, архангелу как-раз забивали канал таким вот методом.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Archangel236
сообщение 6.3.2015, 13:31
Сообщение #16


Стаж: 10 лет
Город: Белая Церковь

Сообщений: 441
Благодарностей: 180
Полезность: 547

Было дело )
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя UnrealGame
сообщение 6.3.2015, 13:32
Сообщение #17


Стаж: 4 года 4 месяца

Сообщений: 38
Благодарностей: 21
Полезность: 383

unreal game
Мне кажется в этом вопросе важную роль играет сложность создания таких пакетов намеренно.

Сам пакет UDP формирует ОС, а значит, чтобы получить такой пакет, нужно вмешаться в логику работы самой ОС, а не просто программы которая на ней работает. С другой стороны, это гораздо сложнее, чем найти уязвимость какой-то программы. Учитывая, что все это ради того, чтобы сформировать пакеты, пользы от которых будет меньше, чем от правильно сформированных пакетов, размер которого всего на 10% (приблизительно) больше. Еще нужно учесть, что нужно заразить таким методом не один ПК, а тысячи, раз нужен DDOS.

Исходя из выше сказанного, мне кажется более простым и эффективным метод DDOS на основе правильно сформированных пакетов.

Отредактировал: UnrealGame, - 6.3.2015, 13:38
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 6.3.2015, 14:09
Сообщение #18


Иконка группы

Стаж: 10 лет

Сообщений: 2167
Благодарностей: 2196
Полезность: 962

multiplay.ru
Цитата(UnrealGame @ 6.3.2015, 14:32) *
Такие пакеты создаются очень легко, и даже рядом стандартных утилит стресс-теста.


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя shaid
сообщение 6.3.2015, 14:45
Сообщение #19


Стаж: 7 лет 4 месяца

Сообщений: 1006
Благодарностей: 428
Полезность: 833

тоже самое наблюдаю)
Код
[40250459.946929] UDP: short packet: From 85.174.96.151:0 0/23 to 95.154.113.71:20480
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя viking
сообщение 21.9.2015, 18:37
Сообщение #20


Стаж: 12 лет

Сообщений: 75
Благодарностей: 4
Полезность: 46

Так как бороться с этим? Заблочить порт ? В кернел логе бывает дохрена спама видно
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
  Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: