Ataque UDP FLOOD\ Inundação udp



  • Bom dia caros companheiros.

    Hj tive alguma instabilidades com Ataque de inundação udp de uma máquina proveniente da rede WAN!
    Este cliente utiliza um provedor não muito "CATÓLICO" predial que não tem nenhuma proteção entre os cliente.
    Algum cliente deste provedor, provavelmente, está com algum virus ou alguma praga que por sequência está realizando um broadcast macabro na rede do provedor….

    O meu equipamento LOCAL mostrou uma inundação de UDP na porta 138, conforme log na rede WAN :

    09:35:14.005551 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006015 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006032 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006042 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006050 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006515 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006533 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006542 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006551 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.006560 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.007014 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.007029 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.007039 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.007048 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.007057 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)
    09:35:14.007065 IP 192.168.0.201.138 > 192.168.0.255.138: NBT UDP PACKET(138)

    Este caso gerou queda neste link e lentidão no Apliance do PF.

    PERGUNTA AO COLEGAS!
    Existe alguma coisa que se possa fazer neste caso sem ser a desabilitação desta interface de rede?
    Alguma configuração na interface? Regras de FW?

    Abraços e obrigado.



  • se o switch for gerenciavel ou camada3, você pode bloquear o trafego das portas windows, já que aparentemente a rede é para disponibilização de internet.



  • Que rede bacana desse provedor. Possivelmente ainda em bridge, como muitos provedores iniciantes fazem. Se tiver opção, foge disso amigo. :D


Log in to reply