flooding

用于僵尸网络(UDP 洪水)保护的 iptables 规则
flooding

用于僵尸网络(UDP 洪水)保护的 iptables 规则

我的服务器目前正在遭受大规模 UDP 攻击。我托管了几个游戏服务器,主要是 Tf2、CS:GO、CS 1.6 和 CS:Source,我的 1.6 服务器正在遭受洪流攻击。我尝试了 iptables 中的不同规则,但似乎都没有奏效。我的带宽费率为 100mbps,但我收到的洪流速度为 500+mbps。这是最新 tcpdump 的日志 ->http://pastebin.com/HSgFVeBs 数据包长度在一天中会发生变化。只有我的游戏服务器端口通过 UDP 数据包被淹没 - 27015、27016、27018。是否有任何 iptables 规则可以...

Admin

Windows Server 2008:限制每个 IP 的 UDP/TCP 数据包或禁止
flooding

Windows Server 2008:限制每个 IP 的 UDP/TCP 数据包或禁止

如何限制每秒或每分钟每个 IP 发送到我的主机 (或更好的端口) 的 UDP/TCP 数据包数?最好禁止该 IP 12/24 小时甚至永久禁止。 我拥有 Windows Server 2008,并且我的 Windows 管理能力很差,但是 Linux 管理能力相当强。 编辑:基本问题是他们发送了大量垃圾 UPD 和 TCP 数据包...没有 SYNCH 的 TCP 数据包和碎片化的 UDP 数据包,所以我的服务器停止响应... 因此我需要切断每秒发送超过 X 个数据包的用户 (IP)。我需要一种以某种方式提供可配置的解决方案:允许 IP 在 Y 端口上...

Admin

自动 TCP SYN - cookie 激活
flooding

自动 TCP SYN - cookie 激活

我正在安装有 KALI Linux (ARM) 的 Raspberry Pi 1 上模拟 SYN 洪水攻击。执行攻击后,打印了与本文中提到的类似的消息:如何避免 syn cookies。 kernel: possible SYN flooding on port X. Sending cookies. 该net.ipv4.tcp_syncookies变量已设置为1自动。 现在我的问题是,无法再禁用它。我用 将值重写为 0 sysctl -w net.ipv4.tcp_syncookies=0,但再次执行攻击时,内核消息未显示。此外,重新启动系统后,变量...

Admin

如何检测内网SYN Flood?
flooding

如何检测内网SYN Flood?

我遇到了这个问题:每当我将 Linux 服务器插入内部网络时,整个网络就会变慢,然后死机。内部网络之间的每个 ping/ssh 连接都会超时。我拔掉它,然后一切都恢复正常。四处搜索后,我发现(请注意,这是我的假设,我可能错了)这可能是一个内部 SYN 洪水攻击,恶意软件以某种方式进入了罪魁祸首机器并对路由器进行了 SYN 洪水攻击。 我可以通过直接 GUI 登录到可疑机器。我应该启动哪个 Linux 命令来检查? 谢谢 ...

Admin

在邮件服务器多次拒绝后,我该如何阻止/禁止某个 IP?
flooding

在邮件服务器多次拒绝后,我该如何阻止/禁止某个 IP?

我发现有人多次尝试使用我的电子邮件服务器作为中继。helo 命令不是来自 FQDN,因此请求被拒绝。 有没有一种方法可以在多次“恶意”尝试后完全禁止 IP 地址,而无需发送 FQDN? 环境虚拟多域邮件服务器; VPS 上的 CentOS 8.2 后缀 鸽舍 postfix管理员 nft 或 nftables 作为防火墙 经过 5 - 10 次“失败”尝试或探测尝试后,IP 应该会被减慢或被禁止/阻止。 日志摘录: from=<[email protected]> to=<[email protected]> ...

Admin

使用 iptables 阻止 SYN、ACK 响应
flooding

使用 iptables 阻止 SYN、ACK 响应

我有一个虚拟环境,我正在使用 Kali 2020 对 Ubuntu 服务器的端口 53 发起 SYN 洪水攻击。 我意识到针对这种攻击的对策是限制或阻止对 SYN 数据包的响应,即 SYN、ACK。 但是我如何使用 iptables 来做到这一点? 还应该做什么来防止此类攻击? 任何帮助,将不胜感激。 ...

Admin

ARP 60 数据包过多,网络变得非常慢
flooding

ARP 60 数据包过多,网络变得非常慢

我在 wireshark 中看到来自一个 IP 的 ARP 60 数据包过多。我们的 LAN 变得太慢了,但互联网运行正常,没有任何问题。但无法访问本地打印机、文件共享等 附上此图片。这种情况正常吗?或者网络问题还有其他原因。如何查找? 在此处输入图片描述 ...

Admin

SYNPROXY 似乎没有运行
flooding

SYNPROXY 似乎没有运行

我尝试创建iptables规则来防止我的服务器连接限制被未完成的 SYN 数据包填满,因为客户端没有返回任何 ACK 数据包(SYN 洪水攻击)。 我已经阅读了 [RFC 4987 TCP SYN 洪水攻击和常见缓解措施][1] 和 [使用 Red Hat Enterprise Linux 7 Beta 缓解 TCP SYN 洪水攻击][2],最后尝试按照 [此处][3] 的说明进行操作:https://javapipe.com/blog/iptables-ddos-protection/ 但是,我的网站仍然很容易受到以下命令的 DOS 攻击而关闭: ...

Admin

MAC 层单播泛洪交换网络
flooding

MAC 层单播泛洪交换网络

所讨论的网络: 这是一个完全交换的网络,没有路由。没有已知的 RSPT 问题。 有 10 个小型交换机。每个小型交换机内都有许多小型工业设备在相互通信。 有 1 个大交换机连接所有 10 个小交换机。大交换机还连接偶尔与小交换机网络中的一两个设备通信的计算机。 整个网络是一个巨大的 IP 网络,具有相同的子网、子网掩码,没有默认网关。 问题: 2 个小交换机,一个连接设备 A,另一个连接设备 B。不幸的是,A 和 B 都有相同的 Mac 地址,而且还有一个奇怪的 Mac 地址:00:ba:d0:0b:ad:00“坏坏” 现在,在对连接到大交换...

Admin

iptables ... -j DROP 似乎让连接保持打开状态?
flooding

iptables ... -j DROP 似乎让连接保持打开状态?

如果这是一个愚蠢的问题,请原谅我,我不是网络专家。朋友的服务器被某个 IP 淹没,这在查看 的输出时非常明显tcptrace,因为有数百个连接处于“重置”状态。 我做了显而易见的事情并使用 iptables 阻止了所述 IP 地址: iptables -I INPUT -s <bad guy> -j DROP 据我所知,这应该能解决问题。现在,连接显示为“SYN_SENT”,而不是“RESET” tcptrace,这对我来说毫无意义。 我是不是忽略了什么?我是否需要采取一些额外的步骤让内核完全断开连接? 编辑: 另外一个奇怪之处是,...

Admin

运行 snort 和 IGMP v2 泛洪
flooding

运行 snort 和 IGMP v2 泛洪

我不是网络专家,所以请耐心听我说。我在 PLC(运行 rt-linux)上运行 snort,同时运行一个应用程序,该应用程序需要通过多播与驻留在另一个 PLC 上的同一应用程序的另一个实例进行通信。我已通过route add -net 224.0.0.0 netmask 240.0.0.0 dev eth0命令在两个 PLC 上配置了多播。此外,我正在从我的应用程序内的子进程中实例化 snort。snort 以入侵检测模式运行。 问题是,一旦我的应用程序启动 snort,PLC 就会开始发送大量数据包,导致网络完全不堪重负。我从主机(通过交换机连接到 PL...

Admin

运行 tcpdump 启动 ssh flood
flooding

运行 tcpdump 启动 ssh flood

我在 PLC 中运行运行时 Linux。我的开发机器运行的是 Ubuntu 14.04。PLC 和开发机器通过五端口交换机连接。我从我的开发机器通过 ssh 连接到 PLC,以传输我在开发机器上开发的网络应用程序的可执行文件。 我在 PLC 上运行 tcpdump 来调试我的网络应用程序正在接收的数据包类型,但是一旦我启动 tcpdump,就会开始从我的 ubuntu 计算机到 PLC 来回发送大量 ssh 同步和确认。PLC 的以太网控制器以及交换机上的 LED 灯开始快速闪烁。洪水淹没了 PLC,它几乎消失了,而所有其他数据包都被丢弃了。每当我运行 t...

Admin

opnsense 禁用防洪
flooding

opnsense 禁用防洪

我刚刚安装了 OPNSense;它运行正常,我可以有流量输入/输出,但当尝试使用持续流(如 rtmp)时,它会在几 kB 后停止。如果我禁用防火墙,流会继续,所以我猜启用了某种洪水预防。有没有办法禁用它?提前致谢 ...

Admin

Nginx 被 IP 地址淹没,而且这种情况不会消失
flooding

Nginx 被 IP 地址淹没,而且这种情况不会消失

我们正在使用 nginx,似乎被一个 IP 地址淹没了,即使将其放入防火墙并使用后它也不会消失tcpkill。 $ netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head 22 66.135.60.154 4 104.25.218.111 3 66.249.64.6 $ sudo iptables -I INPUT -m iprange --src-range 66.135....

Admin

与在同一网络中运行的 CentOS 7 服务器发生网络超时(Syn-Flooding)
flooding

与在同一网络中运行的 CentOS 7 服务器发生网络超时(Syn-Flooding)

如上所述,我在运行 CentOS 7 时遇到了网络问题。 当我第一次遇到网络问题时,我尝试在同一网络中的主路由器上永久运行 ping。 ping 请求偶尔会产生请求超时错误。 我关闭了网络设备的范围,以找到最终导致这些超时的设备。 一旦我关闭 CentOS 上的网络服务,超时就会消失。 我尝试关闭防火墙服务,但没有帮助。 如果有帮助的话,我的路由器是 Fritz Box 7360。 我安装的所有服务是 samba、httpd、MariaDB 和 SSH。 有人已经遇到过类似的问题吗? 提前感谢 PatVax nf_conntrack: table...

Admin