UDP DDOS Brauche Hilfe

Karl34 · Aug 4, 2010

So habe mich grade gewundert warum keine Domain mehr erreichbar ist.
Kann server anpingen und mich auch einloggen.
Ein tcpdump udp gibt:

Code:

46:50.551353 IP 95-65-113-32.starnet.md.4321 > xxxxxxxxxx.32140: UDP, length 1
21:46:50.551374 IP 95-65-113-32.starnet.md.4325 > xxxxxxxxxx.32335: UDP, length 1
21:46:50.551403 IP 109.86.135.183.1864 > xxxxxxx.4018: UDP, length 1
21:46:50.551425 IP clt-84-32-192-228.vdnet.lt.1251 > xxxxxxxx.8570: UDP, length 1
21:46:50.551445 IP e182005010.adsl.alicedsl.de.2576 > xxxxxxxx.17721: UDP,

So ist nur ein Ausschnitt die Ips rattern nur so durch.
Wie kann ich das am besten beenden?
danke

Lord Gurke · Aug 4, 2010

Serverseitig garnicht. Auch wenn deine Firewall die Pakete verwirft, kommen sie ja trotzdem bei dir an

Wenn die Erreichbarkeit des Servers darunter wirklich leidet, solltest du deinen Provider bitten, die Pakete am Router bereits zu filtern. Denn sonst bezahlst du am Ende auch noch zusätzlichen Traffic!

Karl34 · Aug 4, 2010

Ist aber ein UDP Ddos oder liege ich da falsch?
Kann man da nicht mit apf oder moddeflate oder so was machen?

Server ist erreichbar aber keine Domain mehr, bin eigeloggt auf dem Server.

So was bedeutet folgendes:

Code:

23:03:17.037517 IP my.host-name.com.45106 > bill.myprovider.com.domain: 26329+ PTR? 163.168.71.77.in-addr.arpa. (44)

Habe tcpdump mal laufen lassen und beendet:
3124255 packets captured
34495949 packets received by filter
31371376 packets dropped by kernel

cosimo.de · Aug 5, 2010

Hallo,

Das was du da zeigst ist ein DNS Request also nicht ungewöhnliches.
Laß mal tcpdump mit "-n" laufen und poste das mal.

Mit mod_deflate usw. kannst du gar nichts ausrichten da die Pakete ja nicht die Applikations (www) treffen sondern "nur" Serverlast erzeugen.

Du kannst nur versuchen mit iptables die Störenfriede zu sperren aber wen die Attake breit genug ist bringt das auch nichts.

Am besten einen Ausschnit des Dumps an deinen Provider schicken damit sie die Floodports sperren.

Karl34 · Aug 5, 2010

Danke Cosimo

Der Server war ja nichtmal Ausgelastet.
Nur es ging keine Domain mehr, habe den Server ausgeschaltet mal schauen ob die Attacke vorbei ist.
Ja das ist das problem, habe sonst alles installiert was man gegen Ddos machen kann.
Nur der schei.. UDP.
Wo werden die IPs denn gelockt?
Weil dann versuche ich das mal die in die Hostdeny zu setzen oder per iptable zu sperren.
Habe die logs mal durchsucht nur steht da nicht viel drin.
Denke mal das es maximal 150-200 Ips sind.
Die aber ordentlich UDP pakete gefeuert haben.

Karl34 · Aug 5, 2010

tcpdump -n

Code:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

17:31:12.687740 IP 127.0.0.1.80 > 188.129.227.192.2845: S 1849027831:1849027831(0) ack 515737131 win 5840 <mss 1460>

17:31:12.687746 IP 95.134.110.30.4373 > 127.0.0.1.21428: UDP, length 1

17:31:12.687768 IP 75.139.176.38.1048 > 127.0.0.1.80: S 1357517735:1357517735(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.687802 IP 127.0.0.1.80 > 75.139.176.38.1048: S 2973795144:2973795144(0) ack 1357517736 win 5840 <mss 1460>

17:31:12.687807 IP 178.95.6.231.2507 > 127.0.0.1.23990: UDP, length 1

17:31:12.687829 IP 91.205.166.7.3318 > 127.0.0.1.16845: UDP, length 1

17:31:12.687851 IP 85.65.160.253.62267 > 127.0.0.1.80: S 2215992168:2215992168(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.687880 IP 127.0.0.1.80 > 85.65.160.253.62267: S 794762221:794762221(0) ack 2215992169 win 5840 <mss 1460>

17:31:12.687885 IP 188.163.180.19.2304 > 127.0.0.1.28506: UDP, length 1

17:31:12.687905 IP 85.65.160.253.62521 > 127.0.0.1.80: S 712172779:712172779(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.687932 IP 127.0.0.1.80 > 85.65.160.253.62521: S 3008732515:3008732515(0) ack 712172780 win 5840 <mss 1460>

17:31:12.687937 IP 94.158.87.246.2286 > 127.0.0.1.27458: UDP, length 1

17:31:12.687959 IP 109.86.214.60.2622 > 127.0.0.1.15996: UDP, length 1

17:31:12.687980 IP 109.87.235.159.21555 > 127.0.0.1.28305: UDP, length 1

17:31:12.688000 IP 109.86.214.60.2609 > 127.0.0.1.12273: UDP, length 1

17:31:12.688017 IP 78.137.11.225.1078 > 127.0.0.1.10154: UDP, length 1

17:31:12.688037 IP 188.163.180.19.2305 > 127.0.0.1.28472: UDP, length 1

17:31:12.688054 IP 91.210.105.56.22 > 212.117.163.21.41339: P 2870648964:2870649156(192) ack 2707097168 win 120 <nop,nop,timestamp 500080 437438>

17:31:12.688058 IP 92.113.69.17.3482 > 127.0.0.1.11982: UDP, length 1

17:31:12.688086 IP 212.232.6.218.2714 > 127.0.0.1.24719: UDP, length 1

17:31:12.688106 IP 85.65.160.253.63501 > 127.0.0.1.80: S 3157451964:3157451964(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.688137 IP 127.0.0.1.80 > 85.65.160.253.63501: S 2227902404:2227902404(0) ack 3157451965 win 5840 <mss 1460>

17:31:12.688142 IP 85.65.160.253.62503 > 127.0.0.1.80: S 2641163996:2641163996(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.688173 IP 127.0.0.1.80 > 85.65.160.253.62503: S 3574807449:3574807449(0) ack 2641163997 win 5840 <mss 1460>

17:31:12.688178 IP 94.158.87.246.2382 > 127.0.0.1.80: F 3642982430:3642982430(0) ack 3514691400 win 17680

17:31:12.688202 IP 85.65.160.253.57925 > 127.0.0.1.80: S 578497615:578497615(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.688231 IP 127.0.0.1.80 > 85.65.160.253.57925: S 3530721929:3530721929(0) ack 578497616 win 5840 <mss 1460>

17:31:12.688236 IP 92.46.66.156.4553 > 127.0.0.1.12757: UDP, length 1

17:31:12.688259 IP 85.65.160.253.63673 > 127.0.0.1.80: S 1033089714:1033089714(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.688292 IP 127.0.0.1.80 > 85.65.160.253.63673: S 279093056:279093056(0) ack 1033089715 win 5840 <mss 1460>

17:31:12.688297 IP 88.196.47.146.2486 > 127.0.0.1.22190: UDP, length 1

17:31:12.688321 IP 91.205.166.7.3319 > 127.0.0.1.8758: UDP, length 1

17:31:12.688341 IP 188.129.227.192.2848 > 127.0.0.1.80: S 593049757:593049757(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.688376 IP 127.0.0.1.80 > 188.129.227.192.2848: S 3127772744:3127772744(0) ack 593049758 win 5840 <mss 1460>

17:31:12.688381 IP 95.65.85.228.4329 > 127.0.0.1.496:  auto-rp type-0x01[|autorp]

17:31:12.688402 IP 91.124.58.190.2211 > 127.0.0.1.31730: UDP, length 1

17:31:12.688427 IP 95.133.131.161.1862 > 127.0.0.1.10094: UDP, length 1

17:31:12.688448 IP 217.132.6.121.2048 > 127.0.0.1.80: S 1234477559:1234477559(0) win 65535 <mss 1360,nop,wscale 4,nop,nop,sackOK>

17:31:12.688496 IP 127.0.0.1.80 > 217.132.6.121.2048: S 3342459102:3342459102(0) ack 1234477560 win 5840 <mss 1460>

17:31:12.688501 IP 95.132.126.233.18898 > 127.0.0.1.20245: UDP, length 1

17:31:12.688524 IP 212.80.45.143.2886 > 127.0.0.1.17563: UDP, length 1

17:31:12.688548 IP 217.132.6.121.2046 > 127.0.0.1.80: S 1778299177:1778299177(0) win 65535 <mss 1360,nop,wscale 4,nop,nop,sackOK>

17:31:12.688581 IP 127.0.0.1.80 > 217.132.6.121.2046: S 1229418920:1229418920(0) ack 1778299178 win 5840 <mss 1460>

17:31:12.688586 IP 95.57.2.130.10438 > 127.0.0.1.13839: UDP, length 1

17:31:12.688613 IP 194.44.202.166.3984 > 127.0.0.1.30551: UDP, length 1

17:31:12.688633 IP 109.86.214.60.2626 > 127.0.0.1.15476: UDP, length 1

17:31:12.688654 IP 95.133.120.203.3475 > 127.0.0.1.20070: UDP, length 1

17:31:12.688675 IP 194.44.202.166.3987 > 127.0.0.1.31669: UDP, length 1

17:31:12.688696 IP 95.133.131.161.1856 > 127.0.0.1.5838: UDP, length 1

17:31:12.688712 IP 109.86.214.60.2628 > 127.0.0.1.28093: UDP, length 1

17:31:12.688731 IP 78.30.247.21.1695 > 127.0.0.1.14118: UDP, length 1

17:31:12.688748 IP 77.247.28.137.2230 > 127.0.0.1.80: R 260715486:260715486(0) win 0

17:31:12.688762 IP 95.57.2.130.10428 > 127.0.0.1.16425: UDP, length 1

17:31:12.688782 IP 90.42.36.133.4407 > 127.0.0.1.9303: UDP, length 1

17:31:12.688801 IP 188.163.180.19.2311 > 127.0.0.1.11943: UDP, length 1

17:31:12.688822 IP 83.99.135.179.4761 > 127.0.0.1.12405: UDP, length 1

17:31:12.688839 IP 80.202.255.250.1830 > 127.0.0.1.80: S 4159763693:4159763693(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>

17:31:12.688868 IP 127.0.0.1.80 > 80.202.255.250.1830: S 3186707179:3186707179(0) ack 4159763694 win 5840 <mss 1460>

17:31:12.688873 IP 79.133.239.154.3128 > 127.0.0.1.28927: UDP, length 1

17:31:12.688909 IP 212.113.44.19.1978 > 127.0.0.1.8198: UDP, length 1

17:31:12.688930 IP 94.158.87.246.2289 > 127.0.0.1.15622: UDP, length 1

17:31:12.688951 IP 83.99.135.179.4736 > 127.0.0.1.32467: UDP, length 1

17:31:12.688972 IP 212.232.6.218.2734 > 127.0.0.1.80: S 1847391454:1847391454(0) win 16384 <mss 1452,nop,nop,sackOK>

17:31:12.689004 IP 127.0.0.1.80 > 212.232.6.218.2734: S 2558774309:2558774309(0) ack 1847391455 win 5840 <mss 1460>

17:31:12.689008 IP 92.113.70.61.1442 > 127.0.0.1.27315: UDP, length 1

17:31:12.689030 IP 95.43.49.90.2013 > 127.0.0.1.80: S 1447032032:1447032032(0) win 16384 <mss 1452,nop,nop,sackOK>

17:31:12.689063 IP 127.0.0.1.80 > 95.43.49.90.2013: S 4027122709:4027122709(0) ack 1447032033 win 5840 <mss 1460>

17:31:12.689068 IP 194.187.102.37.3594 > 127.0.0.1.22223: UDP, length 1

17:31:12.689089 IP 109.86.214.60.2617 > 127.0.0.1.271: UDP, length 1

17:31:12.689109 IP 78.90.232.207.1121 > 127.0.0.1.80: S 1242337065:1242337065(0) win 8192 <mss 1440,nop,nop,timestamp 0 0,nop,nop,sackOK>

17:31:12.689142 IP 127.0.0.1.80 > 78.90.232.207.1121: S 4075463725:4075463725(0) ack 1242337066 win 5840 <mss 1460,nop,nop,sackOK>

17:31:12.689147 IP 188.163.180.19.2312 > 127.0.0.1.6409: UDP, length 1

17:31:12.689173 IP 188.129.227.192.2868 > 127.0.0.1.80: S 3419880483:3419880483(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689211 IP 127.0.0.1.80 > 188.129.227.192.2868: S 2106558550:2106558550(0) ack 3419880484 win 5840 <mss 1460>

17:31:12.689217 IP 188.129.227.192.2867 > 127.0.0.1.80: S 1609542748:1609542748(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689248 IP 127.0.0.1.80 > 188.129.227.192.2867: S 1171900004:1171900004(0) ack 1609542749 win 5840 <mss 1460>

17:31:12.689253 IP 212.232.6.218.2718 > 127.0.0.1.2827: UDP, length 1

17:31:12.689276 IP 95.106.45.159.5490 > 127.0.0.1.12932: UDP, length 1

17:31:12.689296 IP 83.99.135.179.4732 > 127.0.0.1.5015: UDP, length 1

17:31:12.689318 IP 188.129.227.192.2864 > 127.0.0.1.80: S 316068286:316068286(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689350 IP 127.0.0.1.80 > 188.129.227.192.2864: S 1431663398:1431663398(0) ack 316068287 win 5840 <mss 1460>

17:31:12.689358 IP 188.129.227.192.2873 > 127.0.0.1.80: S 571809027:571809027(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689389 IP 127.0.0.1.80 > 188.129.227.192.2873: S 3053974525:3053974525(0) ack 571809028 win 5840 <mss 1460>

17:31:12.689394 IP 95.57.2.130.10420 > 127.0.0.1.80: S 359822824:359822824(0) win 65535 <mss 1440,nop,nop,sackOK>

17:31:12.689428 IP 127.0.0.1.80 > 95.57.2.130.10420: S 1006576203:1006576203(0) ack 359822825 win 5840 <mss 1460>

17:31:12.689433 IP 83.99.135.179.4738 > 127.0.0.1.17538: UDP, length 1

17:31:12.689455 IP 95.132.126.233.18900 > 127.0.0.1.6348: UDP, length 1

17:31:12.689477 IP 212.232.6.218.2735 > 127.0.0.1.80: S 452979308:452979308(0) win 16384 <mss 1452,nop,nop,sackOK>

17:31:12.689508 IP 127.0.0.1.80 > 212.232.6.218.2735: S 2554044835:2554044835(0) ack 452979309 win 5840 <mss 1460>

17:31:12.689516 IP 91.207.27.2.4668 > 127.0.0.1.80: S 217325926:217325926(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689547 IP 127.0.0.1.80 > 91.207.27.2.4668: S 3069568988:3069568988(0) ack 217325927 win 5840 <mss 1460>

17:31:12.689551 IP 178.94.107.37.1047 > 127.0.0.1.20652: UDP, length 1

17:31:12.689574 IP 91.207.27.2.4670 > 127.0.0.1.80: S 1729094640:1729094640(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689604 IP 127.0.0.1.80 > 91.207.27.2.4670: S 1076633868:1076633868(0) ack 1729094641 win 5840 <mss 1460>

17:31:12.689610 IP 91.207.27.2.4671 > 127.0.0.1.80: S 1048015762:1048015762(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.689643 IP 127.0.0.1.80 > 91.207.27.2.4671: S 1435010617:1435010617(0) ack 1048015763 win 5840 <mss 1460>

17:31:12.689648 IP 78.30.247.21.1697 > 127.0.0.1.1550: UDP, length 1

17:31:12.689670 IP 194.44.202.166.3998 > 127.0.0.1.25038: UDP, length 1

17:31:12.689690 IP 194.44.202.166.4001 > 127.0.0.1.15839: UDP, length 1

17:31:12.689710 IP 194.44.202.166.4002 > 127.0.0.1.2456: UDP, length 1

17:31:12.689731 IP 95.43.49.90.2012 > 127.0.0.1.80: S 1828628955:1828628955(0) win 16384 <mss 1452,nop,nop,sackOK>

17:31:12.689761 IP 127.0.0.1.80 > 95.43.49.90.2012: S 2708068531:2708068531(0) ack 1828628956 win 5840 <mss 1460>

17:31:12.689765 IP 188.163.180.19.2314 > 127.0.0.1.4929: UDP, length 1

17:31:12.689788 IP 78.30.247.21.1698 > 127.0.0.1.29178: UDP, length 1

17:31:12.689811 IP 91.207.27.2.2226 > 127.0.0.1.80: . ack 3575064034 win 65535

17:31:12.689878 IP 88.196.47.146.2488 > 127.0.0.1.3858: UDP, length 1

17:31:12.689899 IP 213.231.7.0.3891 > 127.0.0.1.8657: UDP, length 1

17:31:12.689919 IP 212.80.45.143.2889 > 127.0.0.1.3011: UDP, length 1

17:31:12.689939 IP 78.137.11.225.1070 > 127.0.0.1.2391: UDP, length 1

17:31:12.689967 IP 62.65.213.74.1223 > 127.0.0.1.80: S 215707956:215707956(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.690000 IP 127.0.0.1.80 > 62.65.213.74.1223: S 3910499636:3910499636(0) ack 215707957 win 5840 <mss 1460,nop,nop,sackOK>

17:31:12.690005 IP 83.99.135.179.4745 > 127.0.0.1.21089: UDP, length 1

17:31:12.690027 IP 94.178.77.65.4992 > 127.0.0.1.30998: UDP, length 1

17:31:12.690047 IP 91.207.27.2.4692 > 127.0.0.1.3804: UDP, length 1

17:31:12.690067 IP 188.163.180.19.2316 > 127.0.0.1.18669: UDP, length 1

17:31:12.690089 IP 213.231.7.0.3892 > 127.0.0.1.20469: UDP, length 1

17:31:12.690110 IP 92.46.86.67.1587 > 127.0.0.1.3930: UDP, length 1

17:31:12.690129 IP 188.163.180.19.2319 > 127.0.0.1.4363: UDP, length 1


17:31:12.692459 IP 95.57.2.130.10432 > 127.0.0.1.254: UDP, length 1

17:31:12.692479 IP 95.132.126.233.18906 > 127.0.0.1.14526: UDP, length 1

17:31:12.692499 IP 95.106.45.159.5489 > 127.0.0.1.26975: UDP, length 1

17:31:12.692522 IP 178.167.54.230.2494 > 127.0.0.1.80: S 1456963685:1456963685(0) win 65535 <mss 1360,nop,nop,sackOK>

17:31:12.692556 IP 127.0.0.1.80 > 178.167.54.230.2494: S 3277296041:3277296041(0) ack 1456963686 win 5840 <mss 1460>

17:31:12.692561 IP 80.202.255.250.1863 > 127.0.0.1.80: S 651071957:651071957(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>

17:31:12.692594 IP 127.0.0.1.80 > 80.202.255.250.1863: S 4116689962:4116689962(0) ack 651071958 win 5840 <mss 1460>

17:31:12.692601 IP 90.42.36.133.4412 > 127.0.0.1.17745: UDP, length 1

17:31:12.692623 IP 77.247.28.137.2876 > 127.0.0.1.80: S 2182831161:2182831161(0) win 65535 <mss 1440,nop,nop,sackOK>

17:31:12.692658 IP 127.0.0.1.80 > 77.247.28.137.2876: S 1928697052:1928697052(0) ack 2182831162 win 5840 <mss 1460>

17:31:12.692666 IP 212.80.45.143.2894 > 127.0.0.1.30003: UDP, length 1

17:31:12.692689 IP 92.46.66.156.4556 > 127.0.0.1.6665: UDP, length 1

17:31:12.692711 IP 92.46.86.67.1590 > 127.0.0.1.32239: UDP, length 1

17:31:12.692734 IP 78.137.11.225.1077 > 127.0.0.1.28221: UDP, length 1

17:31:12.692756 IP 188.163.180.19.2334 > 127.0.0.1.19922: UDP, length 1

17:31:12.692775 IP 212.232.6.218.2754 > 127.0.0.1.27576: UDP, length 1

17:31:12.692796 IP 95.65.85.228.4336 > 127.0.0.1.31119: UDP, length 1

17:31:12.692818 IP 188.163.180.19.2335 > 127.0.0.1.31673: UDP, length 1

17:31:12.692840 IP 194.44.202.166.3990 > 127.0.0.1.4919: UDP, length 1

17:31:12.692859 IP 178.95.6.231.2544 > 127.0.0.1.2242: UDP, length 1

17:31:12.692878 IP 92.113.70.61.1445 > 127.0.0.1.1355: UDP, length 1

17:31:12.692901 IP 95.134.110.30.4377 > 127.0.0.1.20699: UDP, length 1

17:31:12.692918 IP 91.205.166.7.3353 > 127.0.0.1.15286: UDP, length 1

17:31:12.692936 IP 91.196.55.86.2297 > 127.0.0.1.80: S 2749017494:2749017494(0) win 65535 <mss 1440,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

17:31:12.692969 IP 127.0.0.1.80 > 91.196.55.86.2297: S 4226836029:4226836029(0) ack 2749017495 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>

17:31:12.692974 IP 95.65.85.228.4380 > 127.0.0.1.4064: UDP, length 1

17:31:12.692992 IP 213.231.7.0.3888 > 127.0.0.1.29636: UDP, length 1

17:31:12.693015 IP 109.87.235.159.21559 > 127.0.0.1.20497: UDP, length 1

17:31:12.693033 IP 212.80.45.143.2902 > 127.0.0.1.7331: UDP, length 1

17:31:12.693053 IP 212.232.6.218.2757 > 127.0.0.1.19410: UDP, length 1

17:31:12.693074 IP 91.196.55.86.2298 > 127.0.0.1.80: S 1731680754:1731680754(0) win 65535 <mss 1440,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

17:31:12.693106 IP 127.0.0.1.80 > 91.196.55.86.2298: S 887362508:887362508(0) ack 1731680755 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>

17:31:12.693111 IP 188.163.119.26.1882 > 127.0.0.1.25439: UDP, length 1

17:31:12.693135 IP 95.132.142.25.2811 > 127.0.0.1.2679: UDP, length 1

17:31:12.693159 IP 212.113.44.19.2003 > 127.0.0.1.1147: UDP, length 1

17:31:12.693180 IP 92.46.66.156.4557 > 127.0.0.1.16988: UDP, length 1

17:31:12.693201 IP 109.86.202.29.1054 > 127.0.0.1.80: S 1320997845:1320997845(0) win 65535 <mss 1460,nop,nop,sackOK>

17:31:12.693235 IP 127.0.0.1.80 > 109.86.202.29.1054: S 2617126385:2617126385(0) ack 1320997846 win 5840 <mss 1460>

17:31:12.693240 IP 83.99.135.179.4767 > 127.0.0.1.6852: UDP, length 1

17:31:12.693264 IP 213.231.7.0.3889 > 127.0.0.1.14605: UDP, length 1

17:31:12.693286 IP 213.231.7.0.3900 > 127.0.0.1.30367: UDP, length 1

17:31:12.693306 IP 91.124.58.190.2227 > 127.0.0.1.22127: UDP, length 1

17:31:12.693330 IP 62.65.213.74.1224 > 127.0.0.1.28261: UDP, length 1

17:31:12.693351 IP 91.196.55.86.2299 > 127.0.0.1.80: S 611655081:611655081(0) win 65535 <mss 1440,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

17:31:12.693383 IP 127.0.0.1.80 > 91.196.55.86.2299: S 1683534177:1683534177(0) ack 611655082 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>

17:31:12.693389 IP 109.86.214.60.2668 > 127.0.0.1.31293: UDP, length 1

17:31:12.693415 IP 91.205.166.7.3355 > 127.0.0.1.24627: UDP, length 1

17:31:12.693438 IP 91.205.166.7.3341 > 127.0.0.1.15891: UDP, length 1

17:31:12.693457 IP 178.94.107.37.1050 > 127.0.0.1.13125: UDP, length 1

17:31:12.693480 IP 83.99.135.179.4778 > 127.0.0.1.27040: UDP, length 1

17:31:12.693502 IP 212.232.6.218.2762 > 127.0.0.1.11461: UDP, length 1

17:31:12.693522 IP 93.177.196.118.1887 > 127.0.0.1.80: S 831473779:831473779(0) win 32767 <mss 1460,nop,wscale 0,nop,nop,sackOK>

17:31:12.693556 IP 127.0.0.1.80 > 93.177.196.118.1887: S 637043995:637043995(0) ack 831473780 win 5840 <mss 1460>

17:31:12.693561 IP 92.46.80.140.4694 > 127.0.0.1.20227: UDP, length 1

17:31:12.693584 IP 93.177.196.118.1888 > 127.0.0.1.80: S 1205008050:1205008050(0) win 32767 <mss 1460,nop,wscale 0,nop,nop,sackOK>

17:31:12.693616 IP 127.0.0.1.80 > 93.177.196.118.1888: S 266710859:266710859(0) ack 1205008051 win 5840 <mss 1460>

17:31:12.693621 IP 109.86.214.60.2651 > 127.0.0.1.28088: UDP, length 1

17:31:12.693644 IP 93.177.196.118.1889 > 127.0.0.1.80: S 2819067797:2819067797(0) win 32767 <mss 1460,nop,wscale 0,nop,nop,sackOK>

17:31:12.693675 IP 127.0.0.1.80 > 93.177.196.118.1889: S 2656308855:2656308855(0) ack 2819067798 win 5840 <mss 1460>

17:31:12.693683 IP 91.195.3.79.4116 > 127.0.0.1.7531: UDP, length 1

17:31:12.693708 IP 91.196.55.86.2303 > 127.0.0.1.80: S 2078093472:2078093472(0) win 65535 <mss 1440,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

17:31:12.693742 IP 127.0.0.1.80 > 91.196.55.86.2303: S 541772151:541772151(0) ack 2078093473 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>

17:31:12.693747 IP 95.134.110.30.4379 > 127.0.0.1.14064: UDP, length 1

17:31:12.693767 IP 80.202.255.250.1865 > 127.0.0.1.80: S 2601247369:2601247369(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,sackOK>

17:31:12.693801 IP 127.0.0.1.80 > 80.202.255.250.1865: S 3414429397:3414429397(0) ack 2601247370 win 5840 <mss 1460>

17:31:12.693806 IP 212.80.45.143.2897 > 127.0.0.1.1010: UDP, length 1

17:31:12.693828 IP 212.113.44.19.2004 > 127.0.0.1.4468: UDP, length 1

17:31:12.693861 IP 95.65.85.228.4343 > 127.0.0.1.7764: UDP, length 1

17:31:12.693881 IP 213.231.7.0.3890 > 127.0.0.1.22176: UDP, length 1

17:31:12.693902 IP 83.99.135.179.4775 > 127.0.0.1.21068: UDP, length 1

17:31:12.693924 IP 95.65.85.228.4344 > 127.0.0.1.29744: UDP, length 1

17:31:12.693945 IP 178.95.6.231.2509 > 127.0.0.1.11222: UDP, length 1

17:31:12.693968 IP 95.65.85.228.4342 > 127.0.0.1.6368: UDP, length 1

17:31:12.693989 IP 92.113.70.61.1447 > 127.0.0.1.21296: UDP, length 1

17:31:12.694010 IP 91.205.166.7.3357 > 127.0.0.1.13637: UDP, length 1

17:31:12.695547 IP 127.0.0.1.80 > 188.163.119.26.1890: S 658994712:658994712(0) ack 3944520095 win 5840 <mss 1460>

17:31:12.695596 IP 91.205.166.7.3364 > 127.0.0.1.23666: UDP, length 1

17:31:12.695669 IP 127.0.0.1.80 > 109.86.202.29.1061: S 3620208743:3620208743(0) ack 1486422780 win 5840 <mss 1460>

17:31:12.695674 IP 95.65.85.228.4346 > 127.0.0.1.14635: UDP, length 1

17:31:12.695717 IP 95.59.85.198.2820 > 127.0.0.1.80: S 4119696737:4119696737(0) win 65535 <mss 1440,nop,nop,sackOK>

17:31:12.695755 IP 92.113.70.61.1449 > 127.0.0.1.19840: UDP, length 1

17:31:12.695777 IP 109.86.214.60.2689 > 127.0.0.1.6309: UDP, length 1

17:31:12.695798 IP 95.59.85.198.2819 > 127.0.0.1.80: S 497671217:497671217(0) win 65535 <mss 1440,nop,nop,sackOK>

17:31:12.695829 IP 127.0.0.1.80 > 95.59.85.198.2819: S 3393481224:3393481224(0) ack 497671218 win 5840 <mss 1460>

17:31:12.695856 IP 95.65.85.228.4387 > 127.0.0.1.9679: UDP, length 1

17:31:12.695882 IP 92.46.80.140.4701 > 127.0.0.1.31647: UDP, length 1

17:31:12.695904 IP 95.59.85.198.2821 > 127.0.0.1.80: S 2081188609:2081188609(0) win 65535 <mss 1440,nop,nop,sackOK>

17:31:12.695938 IP 127.0.0.1.80 > 95.59.85.198.2821: S 1267482733:1267482733(0) ack 2081188610 win 5840 <mss 1460>

17:31:12.695943 IP 83.99.135.179.4776 > 127.0.0.1.787: UDP, length 1

17:31:12.695966 IP 91.205.166.7.3352 > 127.0.0.1.21827: UDP, length 1

17:31:12.696011 IP 77.6.4.161.16702 > 127.0.0.1.80: S 1184168240:1184168240(0) win 65535 <mss 1452,nop,nop,sackOK>

17:31:12.696036 IP 127.0.0.1.80 > 77.6.4.161.16702: S 3551545683:3551545683(0) ack 1184168241 win 5840 <mss 1460>

17:31:12.696072 IP 127.0.0.1.80 > 109.86.202.29.1064: S 2885773847:2885773847(0) ack 438935753 win 5840 <mss 1460>

17:31:12.696100 IP 95.106.45.159 > 127.0.0.1: ICMP echo request, id 15874, seq 0, length 32

17:31:12.696126 IP 127.0.0.1 > 95.106.45.159: ICMP echo reply, id 15874, seq 0, length 32

17:31:12.696151 IP 212.232.6.218.2758 > 127.0.0.1.12459: UDP, length 1

17:31:12.696172 IP 212.232.6.218.2778 > 127.0.0.1.6966: UDP, length 1

17:31:12.696192 IP 95.132.142.25.2833 > 127.0.0.1.25530: UDP, length 1

17:31:12.696214 IP 95.133.120.203.3486 > 127.0.0.1.11959: UDP, length 1

17:31:12.696235 IP 95.65.85.228.4468 > 127.0.0.1.29218: UDP, length 1

17:31:12.696255 IP 91.205.166.7.3354 > 127.0.0.1.3557: UDP, length 1

17:31:12.696280 IP 212.232.6.218.2780 > 127.0.0.1.14984: UDP, length 1

17:31:12.696300 IP 178.167.54.230.2497 > 127.0.0.1.80: S 1374231306:1374231306(0) win 65535 <mss 1360,nop,nop,sackOK>

17:31:12.696331 IP 127.0.0.1.80 > 178.167.54.230.2497: S 2551937825:2551937825(0) ack 1374231307 win 5840 <mss 1460>

17:31:12.696336 IP 82.146.93.166.3323 > 127.0.0.1.80: S 1934416842:1934416842(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,timestamp 0 0,nop,nop,sackOK>

17:31:12.696371 IP 127.0.0.1.80 > 82.146.93.166.3323: S 1504114285:1504114285(0) ack 1934416843 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>

Wo werden diese IPs geloggt?
Würde es was bringen diese alle in iptables zu DROPEN/REJECTEN?

mr_brain · Aug 5, 2010

http://deflate.medialayer.com/

Skript anpassen auf UDP.

cosimo.de · Aug 5, 2010

Hmm das wird nicht viel bringen da die Pakete ja keine Applikation auf den Ports treffen. Der Traffic wird trotzdem auflaufen.

Da kannst du auch gleich UDP bis auf den Port 53 komplett zumachen wenn es ein LAMP System ist.

Du kannst ja mal aus dem tcpdump eine Liste erstellen und freundlich bei deim Provider anklopfen ob die die in den Router werfen.

Alternativ mit iftop die Topsystemem rausfischen.

Karl34 · Aug 5, 2010

Ich bin in shell scripte noch nicht so gut.
Was muss ich denn da anpassen?
Weil der Ddos läuft weiter

Habe die UDP ports dicht gemacht, bringt aber nichts.

Code:

iptables -A INPUT -p udp -j DROP

cosimo.de · Aug 6, 2010

cosimo said:
Hmm das wird nicht viel bringen da die Pakete ja keine Applikation auf den Ports treffen. Der Traffic wird trotzdem auflaufen.

Du kannst ja mal aus dem tcpdump eine Liste erstellen und freundlich bei deim Provider anklopfen ob die die in den Router werfen.

10 Zeichen .......

UDP DDOS Brauche Hilfe

Karl34

New Member

Lord Gurke

Nur echt mit 32 Zähnen

Karl34

New Member

cosimo.de

Guest

Karl34

New Member

Karl34

New Member

mr_brain

Registered User

cosimo.de

Guest

Karl34

New Member

cosimo.de

Guest

We value your privacy