Можно ли фильтровать ip-спуфинг по UDP протоколу?

Question

Urukhayy @Urukhayy

Можно ли фильтровать ip-спуфинг по UDP протоколу?

Вопрос задан более трёх лет назад
598 просмотров

2 комментария

Подписаться 2 Оценить 2 комментария

Решения вопроса 1

6 комментариев

Urukhayy @Urukhayy Автор вопроса

Речь о прикладном приложении (игровом сервере), который не выдерживает 500 подключений в секунду с фальсифицированных IP. Работает на UDP протоколе.

Написано более трёх лет назад
Руслан Федосеев @martin74ua Куратор тега Системное администрирование

и что это меняет? На ближайшем роутере настраивайте фильтрацию

Написано более трёх лет назад
Urukhayy @Urukhayy Автор вопроса

Руслан Федосеев: Тех. поддержка говорит, что из-за connectionless природы соединения, его невозможно отфильтровать.

Написано более трёх лет назад
Руслан Федосеев @martin74ua Куратор тега Системное администрирование

кхм... смотрю я на connlimit для iptables и не вижу невозможности его применить к udp.

Смотрите, вы можете на своем сервере настроить обрезку лишних пакетов. Они перестанут доходить до приложения, но тем не менее по прежнему будут присутствовать на интерфейсе и в канале. Если вам этого достаточно - то режьте у себя. Если нет - общайтесь с техподдержкой.

Написано более трёх лет назад
Urukhayy @Urukhayy Автор вопроса

Достаточно. Но если я не ошибаюсь, то посредством iptables способ такой: пускать со второго пакета IP адрес, а первый игнорить, если как правило фальш. IP отправляют по 1 пакету.

Написано более трёх лет назад
Руслан Федосеев @martin74ua Куратор тега Системное администрирование

тут только вопрос - что вы подразумеваете под первым и вторым пакетом ;)
Как правильно говорит техподдержка - в udp нет понятия соединение. В рамках параметров модуля connlimit вы можете описать такое поведение - первый пакет в час отбраывается, остальные пропускаются. И каждый час это правило будет отрезать ровно один пакет. Ну или раз в 5 минут, раз в сутки... Тут уж как опишете и как настроите...

Может вам стоит организовать какое нить прокси? Правда тут уже администрированием не обойдешься кажется... Хотя можно посмотреть на ha-proxy, может через нее можно организовать подобную фильтрацию.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Системное администрирование

+1 ещё

Простой
Проброс GPU на большое количество виртуальных машин, как?
- 2 подписчика
- 11 часов назад
- 276 просмотров
1

ответ
Сетевое администрирование

+1 ещё

Простой
Настроить wake on lan для AnyDesk?
- 6 подписчиков
- вчера
- 5913 просмотров
3

ответа
Linux

+1 ещё

Средний
Как исправить ошибку «Meego grubby fatal error: unable to find a suitable template»?
- 1 подписчик
- 23 апр.
- 54 просмотра
1

ответ
Системное администрирование

+3 ещё

Простой
Есть работающий сервер с ProxMox, но как решить проблему с работой жестких дисков?
- 1 подписчик
- 23 апр.
- 180 просмотров
3

ответа
Linux

+1 ещё

Простой
Как создать свой образ Linux для размноживания на других АРМ?
- 1 подписчик
- 23 апр.
- 205 просмотров
4

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 17 апр.
- 121 просмотр
2

ответа
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 175 просмотров
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 77 просмотров
1

ответ
Системное администрирование

+1 ещё

Простой
На каком виртуальном сервере процессор мощнее?
- 1 подписчик
- 14 апр.
- 217 просмотров
3

ответа
Windows

+1 ещё

Простой
Как настроить Windows под гостевой компьютер общего пользования?
- 3 подписчика
- 12 апр.
- 952 просмотра
5

ответов
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор (инженер) 🚀

Хабр • Москва

от 140 000 ₽

Системный Администратор

DBI • Ростов-на-Дону

от 100 000 ₽

Разработать электронику для весов с Wi-Fi

26 апр. 2024, в 01:22

1000 руб./в час

Очень срочно нужно помочь запустить программу с UI

26 апр. 2024, в 00:13

1000 руб./за проект

Создание бота/скрипта для сайта забронирование мест

26 апр. 2024, в 00:10

30000 руб./за проект

расскажи, при чем спуффинг к удп и ддосу?
Речь о прикладном приложении (игровом сервере), который не выдерживает 500 подключений в секунду с фальсифицированных IP.

Answer 1 · 2015-07-27 14:36:36

Фильтровать можно. Но вот защищаться от него надо на уровень выше. Т.е. если спуфят ваш сервер - фильтровать можно на уровне роутера, если спуфят роутер - то на уровне провайдера.
Дело в том, что протокол UDP не требует ответа. Если для TCP достаточно просто дропнуть - и соединение разорвется, отправитель трафик слать не будет, то в UDP дроп значения не имеет. Т.е если вы дропнете атакующий вас трафик на роутере - то занимать ваш канал до роутера он будет по прежнему

Answer 2 · 2015-09-03 12:13:06

При спуфинге пакеты прилетают с различных адресов, следовательно по ip их отфильтровать нельзя. Хотя если речь про сервер, который ориентирован на русских клиентов, то можно отрезать вообще все сети из "опасных" стран.
Далее, надо понять какие есть закономерности в прилетающих пакетах. Обычно при спуфинге, можно выделить такие закономерности как одинаковый ttl, размер пакета, порты отправления и назначения. И если к примеру увидите что у 99% пакетов одинаковый параметр, то можно отрезать атаку по этому параметру.
У некоторых провайдеров есть firewall где можно самому сказать, какие правила для входящего трафика следует применить. Стоит это несколько сотен рублей в месяц.
Вот например у МногоБайта https://mnogobyte.ru/firewall_rules.html

Можно ли фильтровать ip-спуфинг по UDP протоколу?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт