ADSL/VDSL

Ataque UDP a mi ADSL

BocaDePez 11 junio 2004 12:02

⋮

Desde hace unos días estoy sufriendo un ataque desde multiples ips con paquetes UDP a puertos por encima del 10000. Telefónica se lava las manos pero el resultado es que se me come unos 15-17 Kb/s de mi preciado ancho de banda de 256 kbs.
Le ha passado alguien algo parecido.
Parece un ataque como este:
resources.sei.cmu.edu/library/asset-view…setID=496170

pero desde muchisimas ips distintas de todo el mundo.
Imagino que será algun virus/worm/troyano pero no he encontrado ninguna información que se parezca a lo que estoy sufriendo.

Tengo IP fija pero telefónica se niega a cambiarmela por otra.

Un saludo

Jaime

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

BocaDePez 11 junio 2004 12:33

⋮

Lo que hace telefónica es totalmente normal.
Luego os quejais de ip's estáticas, cuando la utilidad que tienen a nivel usuario es nula.

✖

BocaDePez 11 junio 2004 12:42

⋮

La ip fija la tengo porque es un adsl bastante viejo.
Aún así, la única solución que veo es que telefónica filtre en su red esos paquetes (por contenido por ejemplo, ya que son todos iguales).
Y por muy coñazo que sea la ip fija hay millones de ellas en internet y cambiar a ip dinámica no corta el problema solo lo desvía.
Por otra parte si me esta pasando a mi le tiene que estar pasando a más gente con ip fija con el conseguiente despedicio de ancho debanda.
Imagino que habrá mucha gente que les está pasando y ni se enteran.

Jaime

✖

BocaDePez 11 junio 2004 15:32

⋮

Por supuesto que es muy común. Yo tuve en su día un IDS y sorprendería ver la cantidad de conexiones y ataques que puede recibir una conexión de un particular.
Lo que deberías hacer es bloquear los paquetes UDP que te estén dando problemas, otra solución no veo.

kourni 11 junio 2004 12:37

⋮

tienes un buen firewall instalado?,

✖

BocaDePez 11 junio 2004 12:44

⋮

Todos los puertos están cortados.
Pero te da igual el firewall.

Los paquetes ya no llegan a mi red interna, por que el router hace NAT pero no mapeo ningún puerto de los afectados. Aún así el router los tiene que procesar y ocupan ancho de banda.

Jaime

BocaDePez 11 junio 2004 12:47

⋮

El Firewall debería estar en la red de Telefónica, porque cuando llegan a mi router ya están ocupando ancho de banda del tramo
central-micasa, independientemente de que yo luego evite que lleguen a la red interna.

Jaime

✖

BocaDePez 12 junio 2004 16:43

⋮

Si filtras los paquetes en un tramo de la red, en el resto siguen ocupando el ancho de banda, por lo que te daría exactamente lo mismo, solo que no te enterarías. Ese tráfico, lo más probable es que lo estés generando tú mismo. En el log de mi fw aparecen muchas anotaciones de paquetes UDP cuanto tengo el mulo funcionando, cuando no, solo aparece alguno de vez en cuando, eso sí, al día siguiente de quitarlo, o a los dos días, ...

BocaDePez 11 junio 2004 14:32

⋮

Recoge todos los logs de los ataques y mándaselos a Telefónica en la dirección: (link roto)

Y también mandaselos a todos los proveedores a los que pertenezcan esas ip's para que les den un toque a los usuarios de las mismas. Mira a ver si puedes hacer un seguimiento de las ip's, para ver si algunas que siempre te atacan.

Yo creo que si que deberían cambiarte la IP. O al menos ofrecerte dinámica como solución (conozco a uno que le cambiaron a dinámica porque lo solicitó el ya qye le estaban machacando).

Por cierto, la IP fija no es tan mala como parece, el problema está en la red, como esté configurada porque los técnicos también estarán viendo que en la red hay muchos paquetes a tu IP del mismo tipo pero con diferentes origenes con lo cual deberían investigarlo para evitar colapsos y sobrecargas en la red (pero se demuestar una vez más que a la Timo le importa un pepino su red, porque como la carga sobre la red es tan baja que les importa poco esas cosas)

Salu2 y suerte

PD: Soy MrAnonym desde la UNI :)

✖

BocaDePez 11 junio 2004 15:41

⋮

Lo que hay que leer.. a ver si te crees que es deber de Telefónica investigar cada paquete que pasa por su red. ¿Sabes la cantidad de recursos que serían necesarios para analizar todos los paquetes que pasan por su red? Simplemente ignorando esos paquetes en el router se acabó el problema.

✖

BocaDePez 12 junio 2004 11:51

⋮

Ignorar los paquetes en el router no es suficiente, porque esos paquetes ya estan en tu casa y ya se han comido tu ancho de banda.

Jaime

wileeam 13 junio 2004 17:15

⋮

Tú si tienes que leer, y libros sobre redes...
Como bien te han respondido, si llegan al router, han llegado y por lo tanto han consumido ancho de banda; o lo que es lo mismo que no se soluciona nada; el problema se soluciona cortando en la central, antes de meter los datos por el DSLAM para que no afecte a la conexión central-casa que es la que se ve degradada.
Evidentemente no se puede investigar todos los posibles ataques, pero en este caso, parece algo continuo, con lo cual, la responsabilidad es de Telefónica, pues debe ofrecer un servicio digno.
Si te lo hicieran a tí, seguro que hubieras tardado mucho menos en venir al foro a comentar el problema.

Un saludo

PD: Te recomiendo comenzar con libros básicos de redes (uno muy bueno es de Stallings y/o Tanenbaum). Luego ya puedes meterte en seguridad y ataques en una red.

✖

BocaDePez 13 junio 2004 22:08

⋮

Porque para eso no hay que saber de redes, hay que tener un poquito de sentido común. Si recibes paquetes que no deseas desde direcciones variadas, puede que quien esté generando el envío seas tú mismo. En cualquier caso, la idea de filtrar paquetes en un punto de la red es una idiotez como un castillo. Los paquetes que recibes, sean como sean, unos serán válidos y otros no, pero no por estar codificados en un protocolo concreto dejan de ser válidos. Eso es básico, pero no aparece en los manuales de redes ya que se supone que cualquiera con 2 dedos de frente lo entiende.

✖

vizander 14 junio 2004 09:28

⋮

✖

BocaDePez 14 junio 2004 22:25

⋮

✖

vizander 15 junio 2004 09:39

⋮

wileeam 15 junio 2004 15:13

⋮

✖

vizander 15 junio 2004 18:34

⋮

BocaDePez 15 junio 2004 22:39

⋮

BocaDePez 12 junio 2004 16:28

⋮

¿De verdad es un ataque?... Los p2p lo utilizan, y en los p2p se trabaja con muchas fuentes ... ¿Por qué no le das paso y lo analizas con el cortafuegos? ... igual te encuentras con la sorpresa de que el programa que se traga los udp se llama emule.exe, o algo asín. Tener los puertos cerrados en el router es un atraso, nunca te enteras de lo que ocurre ...

✖

BocaDePez 14 junio 2004 10:42

⋮

no es ningun ataque joder ! son virus tanteando IP´s, nos pasa a todos cada dia..
Salu2

✖

BocaDePez 14 junio 2004 16:59

⋮

mirado en el log del router: 15-20 intentos por minuto a los puertos 445 (sobre todo este) y 135, ambos usados por virus/troyanos.

BocaDePez 14 junio 2004 17:14

⋮

Los ataques de virus como tu dices no se llevan 15 Kb/s de ancho de banda, como en este caso.

Jaime