Dedicated-Server.RU  


Ответ
 
Опции темы Опции просмотра
Старый 01.11.2017, 17:04   #1
Не проверенный
 
Регистрация: 20.10.2017
Адрес: Acarigua
Сообщений: 5
Сказал спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Query flood REUNION

Hi, Is there any way to block this type of attack?

I have a firewall that provides me with the hosting but the rule is not configured to block that type of attack

PHP код:
[REUNION]: Query flood blocking8868 pps (4.836 mbpsfrom 64IPs

[REUNION]: Query flood blocking1187 pps (0.723 mbpsfrom 64IPs

[REUNION]: Query flood blocking1018 pps (0.605 mbpsfrom 64IPs

[REUNION]: Query flood blocking1059 pps (0.623 mbpsfrom 64IPs

[REUNION]: Query flood blocking1179 pps (0.688 mbpsfrom 64IPs


05
:45:40.551466 IP (tos 0x0ttl 50id 11846offset 0flags [none], proto UDP (17), length 53216.196.36.243.58677 74.91.127.86.27012UDPpayload 25
    0x0000
:  4500 0035 2e46 0000 3211 9309 d8c4 24f3  E..5.F..2.....$.
    
0x0010:  4a5b 7f56 e535 6984 0021 cbad ffff ffff  J[.V.5i..!......
    
0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
    0x0030
:  7565 7279 00 
cesita04 вне форума   Ответить с цитированием
Старый 02.11.2017, 00:11   #3
Администратор
 
Регистрация: 20.10.2010
Адрес: Москва
Сообщений: 2,771
Сказал спасибо: 425
Поблагодарили 2,205 раз(а) в 715 сообщениях
По умолчанию

Premium, no it can't.

Read this topic http://www.dedicated-server.ru/vbb/s...ad.php?t=27617
Asmodai вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Premium (04.11.2017)
Старый 04.11.2017, 02:38   #4
Не проверенный
 
Регистрация: 20.10.2017
Адрес: Acarigua
Сообщений: 5
Сказал спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

I already managed to block the other attacks, but this one still can not block it, when I deactivate the meeting they stop attacking I think they should update it


PHP код:
[REUNION]: Query flood blocking3539 pps (1.897 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2838 pps (1.521 mbpsfrom 64IPs 

[REUNION]: Query flood blocking3030 pps (1.624 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2351 pps (1.260 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2289 pps (1.227 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2261 pps (1.212 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2229 pps (1.195 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1720 pps (0.922 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1888 pps (1.012 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1826 pps (0.979 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1650 pps (0.884 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1419 pps (0.761 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1671 pps (0.896 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1658 pps (0.889 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1857 pps (0.996 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2124 pps (1.139 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1736 pps (0.931 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1374 pps (0.737 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1885 pps (1.010 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1915 pps (1.027 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1890 pps (1.013 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1672 pps (0.897 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1915 pps (1.027 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1942 pps (1.041 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1908 pps (1.023 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1854 pps (0.994 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1845 pps (0.989 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1841 pps (0.987 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1916 pps (1.027 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1810 pps (0.970 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1665 pps (0.893 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1870 pps (1.003 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2043 pps (1.095 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2001 pps (1.073 mbpsfrom 64IPs 

[REUNION]: Query flood blocking1821 pps (0.976 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2605 pps (1.397 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2557 pps (1.371 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2372 pps (1.271 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2987 pps (1.601 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2507 pps (1.344 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2776 pps (1.488 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2410 pps (1.292 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2411 pps (1.293 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2893 pps (1.551 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2834 pps (1.519 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2795 pps (1.499 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2330 pps (1.249 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2690 pps (1.442 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2325 pps (1.247 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2838 pps (1.521 mbpsfrom 64IPs 

[REUNION]: Query flood blocking2625 pps (1.407 mbpsfrom 64IPs 
cesita04 вне форума   Ответить с цитированием
Старый 05.11.2017, 00:01   #6
Администратор
 
Регистрация: 20.10.2010
Адрес: Москва
Сообщений: 2,771
Сказал спасибо: 425
Поблагодарили 2,205 раз(а) в 715 сообщениях
По умолчанию

Premium, please read again.
Asmodai вне форума   Ответить с цитированием
Старый 05.11.2017, 09:00   #7
Не проверенный
 
Регистрация: 20.10.2017
Адрес: Acarigua
Сообщений: 5
Сказал спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

any rules for this attack? a specific rule, because the other one did not work

rule by Asmodai

"iptables -I INPUT -p udp -m u32 --u32 "24&0xffff=0x0000" -j DROP"

PHP код:
01:49:43.277412 IP (tos 0x28ttl 61id 32425offset 0flags [none], proto UDP (17), length 53)
    
186.182.110.156.20385 74.91.127.86.27012UDPpayload 25
    0x0000
:  4528 0035 7ea9 0000 3d11 0be3 bab6 6e9c  E(.5~...=.....n.
    
0x0010:  4a5b 7f56 4fa1 6984 0021 94c8 ffff ffff  J[.VO.i..!......
    
0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
    0x0030
:  7565 7279 00                             uery.
01:49:43.277459 IP (tos 0x28ttl 32id 63877offset 0flags [none], proto UDP (17), length 53)
    
186.18.56.242.24573 74.91.127.86.27012UDPpayload 25
    0x0000
:  4528 0035 f985 0000 2011 e454 ba12 38f2  E(.5.......T..8.
    
0x0010:  4a5b 7f56 5ffd 6984 0021 baba ffff ffff  J[.V_.i..!......
    
0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
    0x0030
:  7565 7279 00                             uery.
01:49:43.277466 IP (tos 0x28ttl 54id 5278offset 0flags [none], proto UDP (17), length 53)
    
186.143.192.186.25446 74.91.127.86.27012UDPpayload 25
    0x0000
:  4528 0035 149e 0000 3611 2af7 ba8f c0ba  E(.5....6.*.....
    
0x0010:  4a5b 7f56 6366 6984 0021 2f0c ffff ffff  J[.Vcfi..!/.....
    
0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
    0x0030
:  7565 7279 00                             uery.
01:49:43.277469 IP (tos 0x0ttl 233id 25187offset 0flags [none], proto UDP (17), length 53)
    
186.150.42.68.25284 74.91.127.86.27012UDPpayload 25
    0x0000
:  4500 0035 6263 0000 e911 c0c8 ba96 2a44  E..5bc........*D
    0x0010
:  4a5b 7f56 62c4 6984 0021 c61d ffff ffff  J[.Vb.i..!......
    
0x0020:  5453 6f75 7263 6520 456e 6769 6e65 2051  TSource.Engine.Q
    0x0030
:  7565 7279 00 
cesita04 вне форума   Ответить с цитированием
Старый 05.11.2017, 11:44   #8
Не проверенный
 
Регистрация: 02.04.2017
Адрес: Peje
Сообщений: 26
Сказал спасибо: 10
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Цитата:
Сообщение от Asmodai Посмотреть сообщение
Premium, please read again.

Bro sometimes you cant stay 24 hour in pc to out this attack with drop in vps you can you VPN to change ip and you cant drop everytime its very problem this solution help but again flood and attack countinue ;)
Premium вне форума   Ответить с цитированием
Старый 05.11.2017, 13:33   #9
Эксперт
 
Регистрация: 02.09.2005
Адрес: Евпатория
Сообщений: 433
Сказал спасибо: 19
Поблагодарили 208 раз(а) в 71 сообщениях
По умолчанию

Асм, у него помоему с !=0000 чексуммой, так что не поможет.
__________________
MP
Администрирование серверов.
Cisco Certified Network Associate & Network Security
Fire вне форума   Ответить с цитированием
Старый 05.11.2017, 14:26   #10
Администратор
 
Регистрация: 20.10.2010
Адрес: Москва
Сообщений: 2,771
Сказал спасибо: 425
Поблагодарили 2,205 раз(а) в 715 сообщениях
По умолчанию

Нет wireshark под рукой, но по-моему там везде одинаковая чексумма независимо от ip.
Asmodai вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 10:20. Часовой пояс GMT +3.


Лицензия принадлежит Dedicated-Server.Ru