Posto qui, ma probabilmente è a metà tra networking generale e internet e provider :D
Ho una connessione adsl business da 1,2mb, 5 ip statici con RFC1483 e fin qui tutto bene.
In rete ho il router e 3 pc, tempo fa mi accorsi che la velocità di download era scesa miseramente a 30-40 kb/s e facendo un po di diagnostica con iptraf sui pc e con snmp sul router, ho scoperto che avevo 2 o 3 utenti che mi intasavano di pacchetti udp entranti verso un determinato pc della rete.
La cosa è andata avanti per due settimane poi ho mandato una mail all'abuse del provider di questi 2 ip (Telecom), non hanno fatto ovviamente niente...ma la cosa dopo una settimana si era quasi risolta.
Ieri sera il problema si ripresenta solo che con 1100kbps entranti, cioè vuol dire praticamente tutta la mia banda disponibile, non riuscivo più a navigare.
I pacchetti udp arrivano sempre verso lo stesso pc(linux) e su porte totalmente random.
L'unica cosa che sono riuscito a fare è filtrare gli ip degli scocciatori sul router, ma cmq il problema rimane perchè l'occupazione della banda resta, solo il pacchetto non arriva al pc desiderato.
Sinceramente non riesco a capacitarmi di cosa succeda...sul pc non girano torrent, emule e derivati...ci sono aperti verso l'esterno 2 o 3 servizi quali, http e ftp.
Sono arrivato al punto di pensare che siano attacchi DoS...ma a che pro?
Avete qualche idea o suggerimento su come risolvere la cosa?
grazie e ciao a tutti

strano che il router non li riconosca come tali...

appunto, che router è?

Non è che per caso hai installato Skype?

il router è un webshare 141 atlantisland, udp è connectionless quindi non aspetta di instaurare una connessione prima di mandare il pacchetto, anche se la porta non è in ascolto...putroppo mi arriva.
Non ho installato skype

Per me è qualcosa su quel PC....
I pacchetti verrebbero comunque filtrati dalla tabella di routing.... su che porta vengono inviati i pacchetti?

Se qualcuno all'interno usa o ha usato skype, msn, torrent, emule o similari, ti massacrano il router con richieste UDP almeno fino a quando non si esauriscono gli utenti in coda che hanno agganciato il tuo IP.

gli utenti in coda che hanno agganciato il tuo IP.
Soprattutto visto che è statico ;)
Comunque, come ripeto... se i pacchetti UDP sono rivolti verso uno specifico PC, vuol dire che c'è una corrispondenza sulla tabella di routing....

Se qualcuno all'interno usa o ha usato skype, msn, torrent, emule o similari, ti massacrano il router con richieste UDP almeno fino a quando non si esauriscono gli utenti in coda che hanno agganciato il tuo IP.
questo l'avevo pensato anche io, ma mi è risultato curioso rilevare che solo quel pc riceve queste richieste...e su quel pc non gira nessun p2p, skype, torrent ecc :confused:

Per me è qualcosa su quel PC....
I pacchetti verrebbero comunque filtrati dalla tabella di routing.... su che porta vengono inviati i pacchetti?
ora sono fuori casa...appena torno vi incollo un po di iptraf

sniffa questi pacchetti ed esaminali con ethereal... qualche informazione si può trovare

boh...

secondo me basta disattivare la protezione dos....

bene sono tornato e vi posto un po di dati....
iptraf rileva:
UDP (519 bytes) from 62.211.232.111:3893 to ***.***.***.***:2828 on eth0

Incoming rates: 277.3 kbits/sec
78.2 packets/sec

ethereal:
No. Time Source Destination Protocol Info
1 0.000000 62.211.232.111 ***.***.***.*** UDP Source port: 3893 Destination port: 2828

Frame 1 (536 bytes on wire, 536 bytes captured)
Arrival Time: Jan 19, 2007 18:41:42.124074000
[Time delta from previous packet: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Packet Length: 536 bytes
Capture Length: 536 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:udp:data]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: BillionE_52:9b:34 (00:04:ed:52:9b:34), Dst: ViaTechn_c9:fd:1c (**:**:**:**:**:**)
Destination: ViaTechn_c9:fd:1c (**:**:**:**:**:**)
Source: BillionE_52:9b:34 (00:04:ed:52:9b:34)
Type: IP (0x0800)
Internet Protocol, Src: 62.211.232.111 (62.211.232.111), Dst: ***.***.***.*** (***.***.***.***)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
Total Length: 522
Identification: 0x2515 (9493)
Flags: 0x00
Fragment offset: 0
Time to live: 119
Protocol: UDP (0x11)
Header checksum: 0x4bb3 [correct]
Source: 62.211.232.111 (62.211.232.111)
Destination: ***.***.***.*** (***.***.***.***)
User Datagram Protocol, Src Port: 3893 (3893), Dst Port: 2828 (2828)
Data (494 bytes)

confermo

confermo
cosa?mi son perso.

lascialo perdere... conferma la sua stoltezza :D

confermo che sono log del tutto consueti usando programmi di messaggistica e/o p2p e le funzioni di spi

confermo che sono log del tutto consueti usando programmi di messaggistica e/o p2p e le funzioni di spi
su questo pc non uso p2p, im, torrent, skype...solo pochi servizi che uso internamente.

Fermi tutti .... vizzz non ci ha fomrito alcuni dati ....

ha detto che ha 5 ip ....

come sono configurati ?

1 sicuramente avrai un nat 1 to molti

gli altri 4 immagino siano nattati 1 a 1 su altrettanti ip privati ....

La macchina linux di quale categoria fa parte ? 1 a molti oppure ha una nattatura 1 a 1 ?

Fermi tutti .... vizzz non ci ha fomrito alcuni dati ....

ha detto che ha 5 ip ....

come sono configurati ?

1 sicuramente avrai un nat 1 to molti

gli altri 4 immagino siano nattati 1 a 1 su altrettanti ip privati ....

La macchina linux di quale categoria fa parte ? 1 a molti oppure ha una nattatura 1 a 1 ?
hai ragione mi son dimenticato...ogni pc esce con il suo ip statico, nessun nat.
nessun dhcp, l'assegnamento è statico e non l'ho mai cambiato da quando ho attivo il contratto.
io sento sempre più puzza di Dos

perchè non sniffi questi pacchetti con ethereal e li osservi attentamente?

Quindi tutto il discorso fatto su skype ecc. ecc. non ha piu senso.

Lo bombardano e basta , e gli udp, non avendo firewall passano.

Metti un firewall che ti faccia stealth su tutte le porte. Così risolvi


Ciao

non sono un guru del networking ma a me sembrano pacchetti udp normali niente di strano...
esatto Maddoctor, puntano diretti al mio pc...ora con i filtri disponibili nel mio router riesco a fermare i pacchetti, ma comunque arrivano al router e occupano banda entrante(come vedo con mrtg).
Secondo te/voi come posso risolvere?

Secondo me ognuno e libero di bussare alla tua porta ........ e non lo puoi fermare .....

Quindi anche per i pacchetti ..... non ci puoi fare nulla ....

Visto che hai mrtg, controlla effettivamente che la banda occupata si fermi al router e non vada piu al linux ....... prima o poi smetteranno.

Certo che cmq sembra strano che non hai nulla (cavalloni di troia ecc. ecc.) che gira su quella macchina (su linux poi, sarebbe strano averne?!?!?!) ... non mi sono mai trovato in una situazione del genere.

Dei pacchetti che te ne fai, li "regetti" o li "droppi" ..... ?

Secondo me è meglio se li droppi, in questo modo ti metti nella condizione di essere stealth .....

Piuttosto, hai provato a fare uno di quei test per vedere come risutano le porte di quell'IP (che ne so, con shield's up ecc. ecc. ... https://www.grc.com/x/ne.dll?bh0bkyd2 ) ?

Prova e facci sapere ... Ciao

hai qualche programma installato che possa far risalire al tuo ip tipo un noip un nome utente/qualcosa ???

Secondo me ognuno e libero di bussare alla tua porta ........ e non lo puoi fermare .....

Quindi anche per i pacchetti ..... non ci puoi fare nulla ....

Visto che hai mrtg, controlla effettivamente che la banda occupata si fermi al router e non vada piu al linux ....... prima o poi smetteranno.

Certo che cmq sembra strano che non hai nulla (cavalloni di troia ecc. ecc.) che gira su quella macchina (su linux poi, sarebbe strano averne?!?!?!) ... non mi sono mai trovato in una situazione del genere.

Dei pacchetti che te ne fai, li "regetti" o li "droppi" ..... ?

Secondo me è meglio se li droppi, in questo modo ti metti nella condizione di essere stealth .....

Piuttosto, hai provato a fare uno di quei test per vedere come risutano le porte di quell'IP (che ne so, con shield's up ecc. ecc. ... https://www.grc.com/x/ne.dll?bh0bkyd2 ) ?

Prova e facci sapere ... Ciao
sinceramente non so il filtro sul router se droppa o regetta...cmq fa il suo dovere e al pc i pacchetti non arrivano.
ho aperto solo ftp e http.

hai qualche programma installato che possa far risalire al tuo ip tipo un noip un nome utente/qualcosa ???
uhmm in effetti a questo non ci avevo mai pensato caspita.
ho un dyndns che punta su sto pc e ho anche modificato la gestione dei dns del mio dominio aggiungendo un dominio di terzo livello che punta al pc.
potrei provare a eliminarli.

cancello in record dal dns...vediamo che succede

Scusa l'osservazione ma stai facendo di tutto perche' ti arrivino in casa e poi quando arrivano li sbatti fuori? Non sei molto ospitale ... ;) :D

Scusa l'osservazione ma stai facendo di tutto perche' ti arrivino in casa e poi quando arrivano li sbatti fuori? Non sei molto ospitale ...

Cavolo, non ci avevo pensato.


Ma se apri tutto, loro arrivano, rubano tutto quello che ce da rubare ..... poi non dovrebbero tornare .. giusto ?

Dovresti provare !!!!!