Detected stationary source udp flood attack, dropped

mbreda

Pessoal , por gentileza gostaria de saber se alguem pode me ajudar

nao tenho muita habilidade com o pfsense, estou aprendendo, na empresa onde trabalho, tenho um load balance onde recebo dois links, dele sai um cabo para o pfsense que retorna por outro cabo para um switch que distribui na rede.

Eu estava com uma config que liberava a porta TS , mas eu desabilitei depois que começaram a aparecer no meu load balance a msg abaixo

Detected stationary source udp flood attack, dropped 39 packets, attack source: 172.16.0.100

isso é invasao? tentativa o que seria isso e como eu poderia barrar ?

Por favor se alguem puder me ajudar serei muito grato

Obrigado

danilosv.03

@mbreda:

Pessoal , por gentileza gostaria de saber se alguem pode me ajudar

nao tenho muita habilidade com o pfsense, estou aprendendo, na empresa onde trabalho, tenho um load balance onde recebo dois links, dele sai um cabo para o pfsense que retorna por outro cabo para um switch que distribui na rede.

Eu estava com uma config que liberava a porta TS , mas eu desabilitei depois que começaram a aparecer no meu load balance a msg abaixo

Detected stationary source udp flood attack, dropped 39 packets, attack source: 172.16.0.100

isso é invasao? tentativa o que seria isso e como eu poderia barrar ?

Por favor se alguem puder me ajudar serei muito grato

Obrigado

Possivelmente. O seu cenário, como ele está hoje. Está apenas com o loadbalance nele?

mbreda

Esta assim

tenho os links que chegam no loadbalance e do load balance eu passo para o pfsense e do pfsense eu jogo para rede.

Nos logs do load esta lotado de mensagens assim:

1      2016-12-31 18:11:08 <4> : Detected stationary source udp flood attack, dropped 68 packets, attack source: 172.16.0.100 .
2 2016-12-31 18:51:39 <4> : Detected stationary source udp flood attack, dropped 36 packets, attack source: 172.16.0.100 .
3 2016-12-31 19:33:32 <4> : Detected stationary source udp flood attack, dropped 29 packets, attack source: 172.16.0.100 .
4 2016-12-31 23:35:56 <4> : Detected stationary source udp flood attack, dropped 65 packets, attack source: 172.16.0.100 .

hunterjn

Bom dia.

Preciso de algumas informações, tua rede tem wifi?
Tua rede tem portas abertas alem do TS (Rule de FW ou NAT)?
Teu ip público é fixo ou dinâmico?
A rede 172.16.0.0 é de alguma rede interna sua?

Parece um UDP DOS. A origem pode ser um único endereço MAC (estacionário), ou algum vírus pode estar falsificando IPs internos, fazendo com que o roteador responda aos diferentes IPs internos e não acione uma regra de firewall. Porem com as informações acima conseguimos ter uma ideia melhor do que possa ser.

hunterjn

Outra coisa que tu pode testar é o seguinte. A maioria desses dispositivos certamente está executando o Chrome e visitando sites de produtos do Google. A Google tem um protocolo chamado QUIC que move HTTPS sobre UDP construído no Chrome por um determinado tempo. Você pode obter uma quantidade bastante grande de tráfego UDP ao visitar o YouTube, Google Maps, etc. Abra o Chrome em uma das máquinas e veja chrome://net-internals/#quic para stats.
Eu geralmente configuro o limite de udp do roteador (para roteadores gerenciáveis) para mais ou menos 20.000, para as inundações estacionárias UDP. Se você realmente começar a ser atacado, irá passar dos 20 000. Isso se o ataque estiver vindo de sua própria rede lan.