"ICMP x.x.x.x udp port y unreachable, length 77" ausgehend blockieren

  • Thread starter Thread starter Deleted member 11691
  • Start date Start date
D

Deleted member 11691

Guest
Hallo,

kleines Szenario: Bei allen Servern von mir wird mittels
Code: 
05:02:34.185431 IP 84.200.79.53 > 118.68.19.35: ICMP 84.200.79.53 udp port 29845 unreachable, length 77
geantwortet, wenn eine eingehend DNS-Amplification Attacke stattfindet*. Ist es möglich, den ausgehenden Traffic dabei zu vermindern oder komplett zu blockieren? Was sind die Nebenwirkungen und wie kann ich genau die Art des Traffics nur bei einer DNS Amplification per IPTables blockieren?

lg Fusl
 
Das ist keine DNS-Amplification, denn hier hat jemand versucht auf Port 29845/UDP (vermutlich irgendein Gameserver-Port) anzuklopfen und dein Server hat der Remote-Station erzählt dass auf dem Port nichts läuft ;)

Um das zu vermeiden könntest du eine Firewall-Regel erzeugen, die ganz am Ende alle eingehenden Anfragen per DROP verwirft - dann werden solche Antworten nicht mehr geschickt.
Negative Nebenwirkungen sollten dabei nicht auftreten - außer dass vielleicht ein Client der auf gefilterte Ports verbinden will in ein Timeout rennt statt sofort erzählt zu bekommen dass der Port nicht gebunden ist.
 
Lord Gurke said:
Das ist keine DNS-Amplification, denn hier hat jemand versucht auf Port 29845/UDP (vermutlich irgendein Gameserver-Port) anzuklopfen und dein Server hat der Remote-Station erzählt dass auf dem Port nichts läuft ;)
Click to expand...
Ich weiß, dass es ein DNS-Amplification war, denn ich habe den DNS-Amplification gefahren ;)

Lord Gurke said:
Um das zu vermeiden könntest du eine Firewall-Regel erzeugen, die ganz am Ende alle eingehenden Anfragen per DROP verwirft - dann werden solche Antworten nicht mehr geschickt.
Negative Nebenwirkungen sollten dabei nicht auftreten - außer dass vielleicht ein Client der auf gefilterte Ports verbinden will in ein Timeout rennt statt sofort erzählt zu bekommen dass der Port nicht gebunden ist.
Click to expand...
Dann werden aber auch Client-Anfragen wie z.B. normale DNS-Requests bzw. die eigentlichen Antworten nach innen blockiert, daher hab' ich es nicht getan :)
 
Fusl said:
Ich weiß, dass es ein DNS-Amplification war, denn ich habe den DNS-Amplification gefahren ;)
Click to expand...
Verstehe. Aber warum tut man das....? :confused:


Fusl said:
Dann werden aber auch Client-Anfragen wie z.B. normale DNS-Requests bzw. die eigentlichen Antworten nach innen blockiert, daher hab' ich es nicht getan :)
Click to expand...
Nö, das Zauberwort heißt "Stateful Firewall" - wenn du z.B. iptables benutzt, weiß der Kernel von welchem lokalen Port aus die Pakete gesendet wurden und lässt Antworten dahin wieder durch.
 
You must log in or register to reply here.
Back
Top