collasso adsl..colpa di udp!

vizzz · 19-01-2007, 09:30

Posto qui, ma probabilmente è a metà tra networking generale e internet e provider

Ho una connessione adsl business da 1,2mb, 5 ip statici con RFC1483 e fin qui tutto bene.
In rete ho il router e 3 pc, tempo fa mi accorsi che la velocità di download era scesa miseramente a 30-40 kb/s e facendo un po di diagnostica con iptraf sui pc e con snmp sul router, ho scoperto che avevo 2 o 3 utenti che mi intasavano di pacchetti udp entranti verso un determinato pc della rete.
La cosa è andata avanti per due settimane poi ho mandato una mail all'abuse del provider di questi 2 ip (Telecom), non hanno fatto ovviamente niente...ma la cosa dopo una settimana si era quasi risolta.
Ieri sera il problema si ripresenta solo che con 1100kbps entranti, cioè vuol dire praticamente tutta la mia banda disponibile, non riuscivo più a navigare.
I pacchetti udp arrivano sempre verso lo stesso pc(linux) e su porte totalmente random.
L'unica cosa che sono riuscito a fare è filtrare gli ip degli scocciatori sul router, ma cmq il problema rimane perchè l'occupazione della banda resta, solo il pacchetto non arriva al pc desiderato.
Sinceramente non riesco a capacitarmi di cosa succeda...sul pc non girano torrent, emule e derivati...ci sono aperti verso l'esterno 2 o 3 servizi quali, http e ftp.
Sono arrivato al punto di pensare che siano attacchi DoS...ma a che pro?
Avete qualche idea o suggerimento su come risolvere la cosa?
grazie e ciao a tutti

BTS · 19-01-2007, 10:04

strano che il router non li riconosca come tali...

appunto, che router è?

as10640 · 19-01-2007, 10:15

Non è che per caso hai installato Skype?

vizzz · 19-01-2007, 10:33

il router è un webshare 141 atlantisland, udp è connectionless quindi non aspetta di instaurare una connessione prima di mandare il pacchetto, anche se la porta non è in ascolto...putroppo mi arriva.
Non ho installato skype

as10640 · 19-01-2007, 10:37

Per me è qualcosa su quel PC....
I pacchetti verrebbero comunque filtrati dalla tabella di routing.... su che porta vengono inviati i pacchetti?

stepvr · 19-01-2007, 10:40

Se qualcuno all'interno usa o ha usato skype, msn, torrent, emule o similari, ti massacrano il router con richieste UDP almeno fino a quando non si esauriscono gli utenti in coda che hanno agganciato il tuo IP.

as10640 · 19-01-2007, 10:43

Quote:

Originariamente inviato da stepvr

gli utenti in coda che hanno agganciato il tuo IP.

Soprattutto visto che è statico

Comunque, come ripeto... se i pacchetti UDP sono rivolti verso uno specifico PC, vuol dire che c'è una corrispondenza sulla tabella di routing....

vizzz · 19-01-2007, 11:34

Quote:

Originariamente inviato da stepvr

Se qualcuno all'interno usa o ha usato skype, msn, torrent, emule o similari, ti massacrano il router con richieste UDP almeno fino a quando non si esauriscono gli utenti in coda che hanno agganciato il tuo IP.

questo l'avevo pensato anche io, ma mi è risultato curioso rilevare che solo quel pc riceve queste richieste...e su quel pc non gira nessun p2p, skype, torrent ecc

vizzz · 19-01-2007, 11:35

Quote:

Originariamente inviato da as10640

Per me è qualcosa su quel PC....
I pacchetti verrebbero comunque filtrati dalla tabella di routing.... su che porta vengono inviati i pacchetti?

ora sono fuori casa...appena torno vi incollo un po di iptraf

BTS · 19-01-2007, 11:42

sniffa questi pacchetti ed esaminali con ethereal... qualche informazione si può trovare

Stev-O · 19-01-2007, 12:43

boh...

secondo me basta disattivare la protezione dos....

vizzz · 19-01-2007, 18:54

bene sono tornato e vi posto un po di dati....
iptraf rileva:
UDP (519 bytes) from 62.211.232.111:3893 to ***.***.***.***:2828 on eth0

Incoming rates: 277.3 kbits/sec
78.2 packets/sec

ethereal:
No. Time Source Destination Protocol Info
1 0.000000 62.211.232.111 ***.***.***.*** UDP Source port: 3893 Destination port: 2828

Frame 1 (536 bytes on wire, 536 bytes captured)
Arrival Time: Jan 19, 2007 18:41:42.124074000
[Time delta from previous packet: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Packet Length: 536 bytes
Capture Length: 536 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:udp:data]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: BillionE_52:9b:34 (00:04:ed:52:9b:34), Dst: ViaTechn_c9:fd:1c (**:**:**:**:**:**)
Destination: ViaTechn_c9:fd:1c (**:**:**:**:**:**)
Source: BillionE_52:9b:34 (00:04:ed:52:9b:34)
Type: IP (0x0800)
Internet Protocol, Src: 62.211.232.111 (62.211.232.111), Dst: ***.***.***.*** (***.***.***.***)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
Total Length: 522
Identification: 0x2515 (9493)
Flags: 0x00
Fragment offset: 0
Time to live: 119
Protocol: UDP (0x11)
Header checksum: 0x4bb3 [correct]
Source: 62.211.232.111 (62.211.232.111)
Destination: ***.***.***.*** (***.***.***.***)
User Datagram Protocol, Src Port: 3893 (3893), Dst Port: 2828 (2828)
Data (494 bytes)

Stev-O · 19-01-2007, 18:58

confermo

vizzz · 19-01-2007, 18:59

Quote:

Originariamente inviato da Stev-O

confermo

cosa?mi son perso.

BTS · 19-01-2007, 19:22

lascialo perdere... conferma la sua stoltezza

Stev-O · 19-01-2007, 19:43

confermo che sono log del tutto consueti usando programmi di messaggistica e/o p2p e le funzioni di spi

vizzz · 19-01-2007, 19:50

Quote:

Originariamente inviato da Stev-O

confermo che sono log del tutto consueti usando programmi di messaggistica e/o p2p e le funzioni di spi

su questo pc non uso p2p, im, torrent, skype...solo pochi servizi che uso internamente.

Maddoctor · 19-01-2007, 23:13

Fermi tutti .... vizzz non ci ha fomrito alcuni dati ....

ha detto che ha 5 ip ....

come sono configurati ?

1 sicuramente avrai un nat 1 to molti

gli altri 4 immagino siano nattati 1 a 1 su altrettanti ip privati ....

La macchina linux di quale categoria fa parte ? 1 a molti oppure ha una nattatura 1 a 1 ?

vizzz · 20-01-2007, 02:37

Quote:

Originariamente inviato da Maddoctor

Fermi tutti .... vizzz non ci ha fomrito alcuni dati ....

ha detto che ha 5 ip ....

come sono configurati ?

1 sicuramente avrai un nat 1 to molti

gli altri 4 immagino siano nattati 1 a 1 su altrettanti ip privati ....

La macchina linux di quale categoria fa parte ? 1 a molti oppure ha una nattatura 1 a 1 ?

hai ragione mi son dimenticato...ogni pc esce con il suo ip statico, nessun nat.
nessun dhcp, l'assegnamento è statico e non l'ho mai cambiato da quando ho attivo il contratto.
io sento sempre più puzza di Dos

BTS · 20-01-2007, 07:55

perchè non sniffi questi pacchetti con ethereal e li osservi attentamente?

19-01-2007, 09:30	#1
vizzz Senior Member Iscritto dal: Mar 2006 Città: Bergamo Messaggi: 2499	collasso adsl..colpa di udp! Posto qui, ma probabilmente è a metà tra networking generale e internet e provider Ho una connessione adsl business da 1,2mb, 5 ip statici con RFC1483 e fin qui tutto bene. In rete ho il router e 3 pc, tempo fa mi accorsi che la velocità di download era scesa miseramente a 30-40 kb/s e facendo un po di diagnostica con iptraf sui pc e con snmp sul router, ho scoperto che avevo 2 o 3 utenti che mi intasavano di pacchetti udp entranti verso un determinato pc della rete. La cosa è andata avanti per due settimane poi ho mandato una mail all'abuse del provider di questi 2 ip (Telecom), non hanno fatto ovviamente niente...ma la cosa dopo una settimana si era quasi risolta. Ieri sera il problema si ripresenta solo che con 1100kbps entranti, cioè vuol dire praticamente tutta la mia banda disponibile, non riuscivo più a navigare. I pacchetti udp arrivano sempre verso lo stesso pc(linux) e su porte totalmente random. L'unica cosa che sono riuscito a fare è filtrare gli ip degli scocciatori sul router, ma cmq il problema rimane perchè l'occupazione della banda resta, solo il pacchetto non arriva al pc desiderato. Sinceramente non riesco a capacitarmi di cosa succeda...sul pc non girano torrent, emule e derivati...ci sono aperti verso l'esterno 2 o 3 servizi quali, http e ftp. Sono arrivato al punto di pensare che siano attacchi DoS...ma a che pro? Avete qualche idea o suggerimento su come risolvere la cosa? grazie e ciao a tutti

19-01-2007, 10:04	#2
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	strano che il router non li riconosca come tali... appunto, che router è? __________________ Microsoft? MAI-crosoft!

19-01-2007, 10:15	#3
as10640 Senior Member Iscritto dal: Jul 2005 Città: Ferrara Messaggi: 3494	Non è che per caso hai installato Skype? __________________ The flapping of a single butterfly's wing is enough to change the weather patterns throughout the world.

19-01-2007, 10:37	#5
as10640 Senior Member Iscritto dal: Jul 2005 Città: Ferrara Messaggi: 3494	Per me è qualcosa su quel PC.... I pacchetti verrebbero comunque filtrati dalla tabella di routing.... su che porta vengono inviati i pacchetti? __________________ The flapping of a single butterfly's wing is enough to change the weather patterns throughout the world.

19-01-2007, 11:42	#10
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	sniffa questi pacchetti ed esaminali con ethereal... qualche informazione si può trovare __________________ Microsoft? MAI-crosoft!

19-01-2007, 10:33	#4
vizzz Senior Member Iscritto dal: Mar 2006 Città: Bergamo Messaggi: 2499	il router è un webshare 141 atlantisland, udp è connectionless quindi non aspetta di instaurare una connessione prima di mandare il pacchetto, anche se la porta non è in ascolto...putroppo mi arriva. Non ho installato skype

19-01-2007, 10:40	#6
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Se qualcuno all'interno usa o ha usato skype, msn, torrent, emule o similari, ti massacrano il router con richieste UDP almeno fino a quando non si esauriscono gli utenti in coda che hanno agganciato il tuo IP.

19-01-2007, 12:43	#11
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	boh... secondo me basta disattivare la protezione dos.... __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

19-01-2007, 18:54	#12
vizzz Senior Member Iscritto dal: Mar 2006 Città: Bergamo Messaggi: 2499	bene sono tornato e vi posto un po di dati.... iptraf rileva: UDP (519 bytes) from 62.211.232.111:3893 to *...:2828 on eth0 Incoming rates: 277.3 kbits/sec 78.2 packets/sec ethereal: No. Time Source Destination Protocol Info 1 0.000000 62.211.232.111 ...* UDP Source port: 3893 Destination port: 2828 Frame 1 (536 bytes on wire, 536 bytes captured) Arrival Time: Jan 19, 2007 18:41:42.124074000 [Time delta from previous packet: 0.000000000 seconds] [Time since reference or first frame: 0.000000000 seconds] Frame Number: 1 Packet Length: 536 bytes Capture Length: 536 bytes [Frame is marked: False] [Protocols in frame: eth:ip:udp:data] [Coloring Rule Name: UDP] [Coloring Rule String: udp] Ethernet II, Src: BillionE_52:9b:34 (00:04:ed:52:9b:34), Dst: ViaTechn_c9:fd:1c (:::::) Destination: ViaTechn_c9:fd:1c (:::::) Source: BillionE_52:9b:34 (00:04:ed:52:9b:34) Type: IP (0x0800) Internet Protocol, Src: 62.211.232.111 (62.211.232.111), Dst: *...* (*...) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) Total Length: 522 Identification: 0x2515 (9493) Flags: 0x00 Fragment offset: 0 Time to live: 119 Protocol: UDP (0x11) Header checksum: 0x4bb3 [correct] Source: 62.211.232.111 (62.211.232.111) Destination: ...* (*...*) User Datagram Protocol, Src Port: 3893 (3893), Dst Port: 2828 (2828) Data (494 bytes)

19-01-2007, 18:58	#13
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	confermo __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

19-01-2007, 19:22	#15
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	lascialo perdere... conferma la sua stoltezza __________________ Microsoft? MAI-crosoft!

19-01-2007, 19:43	#16
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	confermo che sono log del tutto consueti usando programmi di messaggistica e/o p2p e le funzioni di spi __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

19-01-2007, 23:13	#18
Maddoctor Senior Member Iscritto dal: Nov 2000 Messaggi: 314	Fermi tutti .... vizzz non ci ha fomrito alcuni dati .... ha detto che ha 5 ip .... come sono configurati ? 1 sicuramente avrai un nat 1 to molti gli altri 4 immagino siano nattati 1 a 1 su altrettanti ip privati .... La macchina linux di quale categoria fa parte ? 1 a molti oppure ha una nattatura 1 a 1 ? __________________ Corei7 -16 GB\|ESXi 5 \|Crippa Andrea\| EOS 7D - CANON 70-300 F4/5.6 IS USM \| 50 F1,8 \| 17-40L F4 USM

20-01-2007, 07:55	#20
BTS Senior Member Iscritto dal: Apr 2006 Città: Forlì Messaggi: 14847	perchè non sniffi questi pacchetti con ethereal e li osservi attentamente? __________________ Microsoft? MAI-crosoft!

Strumenti
Mostra una versione stampabile Invia questa pagina per email