Detected stationary source udp flood attack, dropped
-
Pessoal , por gentileza gostaria de saber se alguem pode me ajudar
nao tenho muita habilidade com o pfsense, estou aprendendo, na empresa onde trabalho, tenho um load balance onde recebo dois links, dele sai um cabo para o pfsense que retorna por outro cabo para um switch que distribui na rede.
Eu estava com uma config que liberava a porta TS , mas eu desabilitei depois que começaram a aparecer no meu load balance a msg abaixo
Detected stationary source udp flood attack, dropped 39 packets, attack source: 172.16.0.100
isso é invasao? tentativa o que seria isso e como eu poderia barrar ?
Por favor se alguem puder me ajudar serei muito grato
Obrigado
-
Pessoal , por gentileza gostaria de saber se alguem pode me ajudar
nao tenho muita habilidade com o pfsense, estou aprendendo, na empresa onde trabalho, tenho um load balance onde recebo dois links, dele sai um cabo para o pfsense que retorna por outro cabo para um switch que distribui na rede.
Eu estava com uma config que liberava a porta TS , mas eu desabilitei depois que começaram a aparecer no meu load balance a msg abaixo
Detected stationary source udp flood attack, dropped 39 packets, attack source: 172.16.0.100
isso é invasao? tentativa o que seria isso e como eu poderia barrar ?
Por favor se alguem puder me ajudar serei muito grato
Obrigado
Possivelmente. O seu cenário, como ele está hoje. Está apenas com o loadbalance nele?
-
Esta assim
tenho os links que chegam no loadbalance e do load balance eu passo para o pfsense e do pfsense eu jogo para rede.
Nos logs do load esta lotado de mensagens assim:
1 2016-12-31 18:11:08 <4> : Detected stationary source udp flood attack, dropped 68 packets, attack source: 172.16.0.100 .
2 2016-12-31 18:51:39 <4> : Detected stationary source udp flood attack, dropped 36 packets, attack source: 172.16.0.100 .
3 2016-12-31 19:33:32 <4> : Detected stationary source udp flood attack, dropped 29 packets, attack source: 172.16.0.100 .
4 2016-12-31 23:35:56 <4> : Detected stationary source udp flood attack, dropped 65 packets, attack source: 172.16.0.100 . -
Bom dia.
Preciso de algumas informações, tua rede tem wifi?
Tua rede tem portas abertas alem do TS (Rule de FW ou NAT)?
Teu ip público é fixo ou dinâmico?
A rede 172.16.0.0 é de alguma rede interna sua?Parece um UDP DOS. A origem pode ser um único endereço MAC (estacionário), ou algum vírus pode estar falsificando IPs internos, fazendo com que o roteador responda aos diferentes IPs internos e não acione uma regra de firewall. Porem com as informações acima conseguimos ter uma ideia melhor do que possa ser.
-
Outra coisa que tu pode testar é o seguinte. A maioria desses dispositivos certamente está executando o Chrome e visitando sites de produtos do Google. A Google tem um protocolo chamado QUIC que move HTTPS sobre UDP construído no Chrome por um determinado tempo. Você pode obter uma quantidade bastante grande de tráfego UDP ao visitar o YouTube, Google Maps, etc. Abra o Chrome em uma das máquinas e veja chrome://net-internals/#quic para stats.
Eu geralmente configuro o limite de udp do roteador (para roteadores gerenciáveis) para mais ou menos 20.000, para as inundações estacionárias UDP. Se você realmente começar a ser atacado, irá passar dos 20 000. Isso se o ataque estiver vindo de sua própria rede lan.