Velký UDP broadcast provoz ze serveru

Velký UDP broadcast provoz ze serveru
« kdy: 19. 04. 2015, 11:59:32 »
Zdravím,

rád bych se zde zkusil obrátit na zkušené ohledně vyhledání viníka (proces), který mně začal ze serveru posílat hodně velký UDP broadcast provoz. Pro představu:
Kód: [Vybrat]
275: 23:21:22.157493       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2302:  udp 32
 276: 23:21:22.157615       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2314:  udp 32
 277: 23:21:22.157782       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2326:  udp 32
 278: 23:21:22.157813       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2338:  udp 32
 279: 23:21:22.157889       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2350:  udp 32
 280: 23:21:22.157966       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2362:  udp 32
 281: 23:21:22.158103       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2374:  udp 32
 282: 23:21:22.158225       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2386:  udp 32
 283: 23:21:22.158301       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2398:  udp 32
 284: 23:21:22.158362       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2410:  udp 32
 285: 23:21:22.158423       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2422:  udp 32
 286: 23:21:22.158545       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2434:  udp 32
 287: 23:21:22.158652       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2446:  udp 32
 288: 23:21:22.158790       802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2458:  udp 32
Systém je teď odstřihnutý od netu (WAN i LAN), přistupuji na něj lokálně.
Zkoušel jsem netstat, výsledek je tento:
Kód: [Vybrat]
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State     
udp        0      0 [servers_IP=local=foreign]:45484    [servers_IP=local=foreign]:27024    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:45996    [servers_IP=local=foreign]:27015    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:41389    [servers_IP=local=foreign]:27026    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:47151    [servers_IP=local=foreign]:27018    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:54832    [servers_IP=local=foreign]:27018    ESTABLISHED
udp     1464      0 [servers_IP=local=foreign]:56112    [servers_IP=local=foreign]:27026    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:56240    [servers_IP=local=foreign]:27025    ESTABLISHED
udp        0      0 0.0.0.0:2352            0.0.0.0:*                         
udp     1464      0 [servers_IP=local=foreign]:55473    [servers_IP=local=foreign]:27017    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:43571    [servers_IP=local=foreign]:27017    ESTABLISHED
udp        0      0 [servers_IP=local=foreign]:57012    [servers_IP=local=foreign]:27024    ESTABLISHED
Neporadil by někdo, jak zkusit vypátrat co to generuje?
Díky za případnou pomoc.


Re:Velký UDP broadcast provoz ze serveru
« Odpověď #1 kdy: 19. 04. 2015, 12:05:48 »
Když k tomu netstatu přidáte parametr -p, vypíše vám to i PID a název procesu.

Re:Velký UDP broadcast provoz ze serveru
« Odpověď #2 kdy: 19. 04. 2015, 13:11:25 »
Díky za radu, tak jsem si více mohl namáhat hlavu a nechat si vylistovat možné parametry příkazu :-X
Vypadá to na proces hlds_i686, který má snahu evidentně floodovat. Tak to budu muset zapátrat jinde a zjistit co s tím půjde dělat.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Velký UDP broadcast provoz ze serveru
« Odpověď #3 kdy: 19. 04. 2015, 13:40:45 »
hlds_i686=Half Life Dedicated Server. Takze si tam u vas z toho nekdo asi dela herni server.

Re:Velký UDP broadcast provoz ze serveru
« Odpověď #4 kdy: 19. 04. 2015, 13:59:32 »
Ano, to odpovídá. Součást běhu stroje je i provoz herních serverů. Spíš je divné to chování...


peto

Re:Velký UDP broadcast provoz ze serveru
« Odpověď #5 kdy: 20. 04. 2015, 00:12:06 »
Tip 1: je to cracknuty herny server Counter Strike (non-steam)

Tip 2: pouzivas najznamejsi crack, ktory umoznuje DDoS cez UDP amplification

Mozne riesenia, ked su tipy spravne:
-hostuj len legalne hry
-analyzuj prevadzku a pokusaj sa ju blokovat
-a este par nelegalnych, ktore nemozem verejne radit, lebo na to by bol paragraf

...alebo sa mylim a je zase dalsia chyba v hlds. Nebola by prva a nebude ani posledna. Zaplatuj to cim skor.

Re:Velký UDP broadcast provoz ze serveru
« Odpověď #6 kdy: 20. 04. 2015, 07:35:49 »
Díky za doprovodné informace a poukázání potenciálních problémů!