Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
64 lecturas y 22 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Ataque UDP a mi ADSL

    Desde hace unos días estoy sufriendo un ataque desde multiples ips con paquetes UDP a puertos por encima del 10000. Telefónica se lava las manos pero el resultado es que se me come unos 15-17 Kb/s de mi preciado ancho de banda de 256 kbs.
    Le ha passado alguien algo parecido.
    Parece un ataque como este:
    http://www.cert.org/advisories/CA-1996-01.html

    pero desde muchisimas ips distintas de todo el mundo.
    Imagino que será algun virus/worm/troyano pero no he encontrado ninguna información que se parezca a lo que estoy sufriendo.

    Tengo IP fija pero telefónica se niega a cambiarmela por otra.

    Un saludo

    Jaime

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      ¿De verdad es un ataque?... Los p2p lo utilizan, y en los p2p…

      ¿De verdad es un ataque?... Los p2p lo utilizan, y en los p2p se trabaja con muchas fuentes ... ¿Por qué no le das paso y lo analizas con el cortafuegos? ... igual te encuentras con la sorpresa de que el programa que se traga los udp se llama emule.exe, o algo asín. Tener los puertos cerrados en el router es un atraso, nunca te enteras de lo que ocurre ...

        • Cerrado

          BocaDePez BocaDePez
          6

          Los ataques de virus como tu dices no se llevan 15 Kb/s de…

          Los ataques de virus como tu dices no se llevan 15 Kb/s de ancho de banda, como en este caso.

          Jaime

        • Cerrado

          BocaDePez BocaDePez
          6

          mirado en el log del router: 15-20 intentos por minuto a los…

          mirado en el log del router: 15-20 intentos por minuto a los puertos 445 (sobre todo este) y 135, ambos usados por virus/troyanos.

    • Cerrado

      BocaDePez BocaDePez
      6

      Recoge todos los logs de los ataques y mándaselos a…

      Recoge todos los logs de los ataques y mándaselos a Telefónica en la dirección: http://www.telefonicaonline.com/nemesys

      Y también mandaselos a todos los proveedores a los que pertenezcan esas ip's para que les den un toque a los usuarios de las mismas. Mira a ver si puedes hacer un seguimiento de las ip's, para ver si algunas que siempre te atacan.

      Yo creo que si que deberían cambiarte la IP. O al menos ofrecerte dinámica como solución (conozco a uno que le cambiaron a dinámica porque lo solicitó el ya qye le estaban machacando).

      Por cierto, la IP fija no es tan mala como parece, el problema está en la red, como esté configurada porque los técnicos también estarán viendo que en la red hay muchos paquetes a tu IP del mismo tipo pero con diferentes origenes con lo cual deberían investigarlo para evitar colapsos y sobrecargas en la red (pero se demuestar una vez más que a la Timo le importa un pepino su red, porque como la carga sobre la red es tan baja que les importa poco esas cosas)

      Salu2 y suerte

      PD: Soy MrAnonym desde la UNI :)

      • Cerrado

        BocaDePez BocaDePez
        6

        Lo que hay que leer.. a ver si te crees que es deber de…

        Lo que hay que leer.. a ver si te crees que es deber de Telefónica investigar cada paquete que pasa por su red. ¿Sabes la cantidad de recursos que serían necesarios para analizar todos los paquetes que pasan por su red? Simplemente ignorando esos paquetes en el router se acabó el problema.

        • Cerrado

          Tú si tienes que leer, y libros sobre redes... Como bien te…

          Tú si tienes que leer, y libros sobre redes...
          Como bien te han respondido, si llegan al router, han llegado y por lo tanto han consumido ancho de banda; o lo que es lo mismo que no se soluciona nada; el problema se soluciona cortando en la central, antes de meter los datos por el DSLAM para que no afecte a la conexión central-casa que es la que se ve degradada.
          Evidentemente no se puede investigar todos los posibles ataques, pero en este caso, parece algo continuo, con lo cual, la responsabilidad es de Telefónica, pues debe ofrecer un servicio digno.
          Si te lo hicieran a tí, seguro que hubieras tardado mucho menos en venir al foro a comentar el problema.

          Un saludo

          PD: Te recomiendo comenzar con libros básicos de redes (uno muy bueno es de Stallings y/o Tanenbaum). Luego ya puedes meterte en seguridad y ataques en una red.

          • Cerrado

            BocaDePez BocaDePez
            6
            Porque para eso no hay que saber de redes, hay que tener un…

            Porque para eso no hay que saber de redes, hay que tener un poquito de sentido común. Si recibes paquetes que no deseas desde direcciones variadas, puede que quien esté generando el envío seas tú mismo. En cualquier caso, la idea de filtrar paquetes en un punto de la red es una idiotez como un castillo. Los paquetes que recibes, sean como sean, unos serán válidos y otros no, pero no por estar codificados en un protocolo concreto dejan de ser válidos. Eso es básico, pero no aparece en los manuales de redes ya que se supone que cualquiera con 2 dedos de frente lo entiende.

            • Cerrado

              VENGA!, otro dando su opinión radical y definitiva. A lo…

              VENGA!, otro dando su opinión radical y definitiva.

              A lo mejor, ni tanto ni tan calvo... que dicen.

              Lo que proponía el otro filtrar paquetes en un punto de la red. Hacerlo sólo por el protocolo ha sido idea tuya.

              Volviendo al tema técnico...supongo que podría haber sistemas que bloqueen los paquetes que se identifiquen como "inapropiados" por su contenido. No entiendo de TCP ni de UDP, pero seguro que, con los medios apropiados, se podría hacer. Otra cosa es que sea rentable.

              De hecho, ya se realizan algunos controles q detectan cuando desde un puesto de la red se está haciendo un barrido de puertos.

              • Cerrado

                BocaDePez BocaDePez
                6
                El único que ha hablado hasta ahora de contenido has sido tú,…

                El único que ha hablado hasta ahora de contenido has sido tú, hasta lo que yo he visto el que abrió el hilo habla de paquetes en udp que le ocupan el ancho de banda, provienen de distintas ips de cualquier lugar, etc. Nadie ha entrado en los contenidos. No obstante, un filtrado de contenidos sería el cangurito de la timo.

                El que uno escriba como se expresa no hace que lo que dice sea más verdad, pero tiene su punto gracioso cuando alguien se empreña en rebatir lo cierto por la manera en que se ha presentado.

                • Cerrado

                  A ver, cualquiera con dos dedos de frente no sabe que es UDP…

                  A ver, cualquiera con dos dedos de frente no sabe que es UDP o TCP (Protocolos de transporte por cierto, el primero no fiable y el segundo sí); y si no vete a casa del papá que ha cogido la ADSL pa ra el nene y le preguntas sobre esto.
                  Ya en el teme, se puede hacer lo que yo digo, eso se llama traffic shapping, y puesto que parece que tienes muchos dedos de frente, pues ya sabrás lo que es (yo no los tengo y por tanto sólo recuerdo el nombre...); pero para los que quieran saber lo que es, el traffic shapping consiste en el análisis del contenido de los paquetes y de acuerdo al contenido se pueden elaborar patrones, de modo que se pueden descartar aquellos paquetes que cumplan esos patrones. Este sistema se puede hacer por software (linux lo tiene en el nuevo kernel) o por hardware; aunque requiere una máquina potente. Es un método muy eficaz para cortar los P2P y similares, de hecho se usa sobre todo para esto. En mi Universidad es lo que usa para evitar el tráfico P2P en la red y te aseguro que funciona y muy bien.
                  Un saludo

                  • Cerrado

                    BocaDePez BocaDePez
                    6
                    Eliminar paquetes por patrones. Excelente idea. Lo malo es…

                    Eliminar paquetes por patrones. Excelente idea. Lo malo es que el juego de patrones que tendrías que sacar para una red con 2.000.000 de máquinas sería un pelin complejo, y moverlo, desde luego necesitaria maquinón, ya lo creo. ¿Y mejoraría la calidad de la conexión?, pues hombre, entre recibir un paquete no válido y no recibir nada, no se yo.
                    Esa es la humilde opnión de un ignorante no universitario, pero que come todos los dias gracias a Inet.

                  • Cerrado

                    Gracias. A eso me refería con lo de mirar el contenido de los…

                    Gracias.

                    A eso me refería con lo de mirar el contenido de los paquetes.

                    Sabía que algo tenía q haber :)

                • Cerrado

                  1) No me refiero a contenidos WEB, sino al contenido del…

                  1) No me refiero a contenidos WEB, sino al contenido del paquete UDP. Especulaba sobre un sistema que fuera capaz de filtrar los paquetes UDP por lo que contienen. Si un troyano conocido usa UDP en su ataque, seguro que los paquetes son interceptables, si algún sistema se molesta en inspeccionarlos...

                  2) Me mantengo en mis trece sobre lo desagradable que resulta estar en un foro y ver como alguien que no comparte tu opinión te tacha de estupido. (Y encima muchas veces es pq el que insulta no se entera). El tío al que respondo tenía razón en lo que decía, filtrar los paquetes sólo por ser UDP es absurdo, pero si te fijas en los 3 post anteriores al mío, están más preocupados en descalificarse unos a otros que por hablar del tema.

                  Como muestra bien vale un boton... tú mismo. No estas de acuerdo conmigo, pero no me pones de gilipollas parriba. Así se puede hablar, me da opción a explicar lo que quería decir, y todos aprendemos.... como en barrio sesamo ;-)

        • Cerrado

          BocaDePez BocaDePez
          6

          Ignorar los paquetes en el router no es suficiente, porque…

          Ignorar los paquetes en el router no es suficiente, porque esos paquetes ya estan en tu casa y ya se han comido tu ancho de banda.

          Jaime

      • Cerrado

        BocaDePez BocaDePez
        6

        El Firewall debería estar en la red de Telefónica, porque…

        El Firewall debería estar en la red de Telefónica, porque cuando llegan a mi router ya están ocupando ancho de banda del tramo
        central-micasa, independientemente de que yo luego evite que lleguen a la red interna.

        Jaime

        • Cerrado

          BocaDePez BocaDePez
          6

          Si filtras los paquetes en un tramo de la red, en el resto…

          Si filtras los paquetes en un tramo de la red, en el resto siguen ocupando el ancho de banda, por lo que te daría exactamente lo mismo, solo que no te enterarías. Ese tráfico, lo más probable es que lo estés generando tú mismo. En el log de mi fw aparecen muchas anotaciones de paquetes UDP cuanto tengo el mulo funcionando, cuando no, solo aparece alguno de vez en cuando, eso sí, al día siguiente de quitarlo, o a los dos días, ...

      • Cerrado

        BocaDePez BocaDePez
        6

        Todos los puertos están cortados. Pero te da igual el…

        Todos los puertos están cortados.
        Pero te da igual el firewall.

        Los paquetes ya no llegan a mi red interna, por que el router hace NAT pero no mapeo ningún puerto de los afectados. Aún así el router los tiene que procesar y ocupan ancho de banda.

        Jaime

    • Cerrado

      BocaDePez BocaDePez
      6

      Lo que hace telefónica es totalmente normal. Luego os quejais…

      Lo que hace telefónica es totalmente normal.
      Luego os quejais de ip's estáticas, cuando la utilidad que tienen a nivel usuario es nula.

      • Cerrado

        BocaDePez BocaDePez
        6

        La ip fija la tengo porque es un adsl bastante viejo. Aún…

        La ip fija la tengo porque es un adsl bastante viejo.
        Aún así, la única solución que veo es que telefónica filtre en su red esos paquetes (por contenido por ejemplo, ya que son todos iguales).
        Y por muy coñazo que sea la ip fija hay millones de ellas en internet y cambiar a ip dinámica no corta el problema solo lo desvía.
        Por otra parte si me esta pasando a mi le tiene que estar pasando a más gente con ip fija con el conseguiente despedicio de ancho debanda.
        Imagino que habrá mucha gente que les está pasando y ni se enteran.

        Jaime

        • Cerrado

          BocaDePez BocaDePez
          6

          Por supuesto que es muy común. Yo tuve en su día un IDS y…

          Por supuesto que es muy común. Yo tuve en su día un IDS y sorprendería ver la cantidad de conexiones y ataques que puede recibir una conexión de un particular.
          Lo que deberías hacer es bloquear los paquetes UDP que te estén dando problemas, otra solución no veo.