Можно ли фильтровать ip-спуфинг по UDP протоколу?

Question

[Urukhayy]

Можно ли фильтровать ip-спуфинг по UDP протоколу?

Comments

[sim3x]

расскажи, при чем спуффинг к удп и ддосу?

[Urukhayy]

Речь о прикладном приложении (игровом сервере), который не выдерживает 500 подключений в секунду с фальсифицированных IP.

Answer 1

[Руслан Федосеев]

Фильтровать можно. Но вот защищаться от него надо на уровень выше. Т.е. если спуфят ваш сервер - фильтровать можно на уровне роутера, если спуфят роутер - то на уровне провайдера.
Дело в том, что протокол UDP не требует ответа. Если для TCP достаточно просто дропнуть - и соединение разорвется, отправитель трафик слать не будет, то в UDP дроп значения не имеет. Т.е если вы дропнете атакующий вас трафик на роутере - то занимать ваш канал до роутера он будет по прежнему

Comments

[Urukhayy]

Речь о прикладном приложении (игровом сервере), который не выдерживает 500 подключений в секунду с фальсифицированных IP. Работает на UDP протоколе.

[Руслан Федосеев]

и что это меняет? На ближайшем роутере настраивайте фильтрацию

[Urukhayy]

Руслан Федосеев: Тех. поддержка говорит, что из-за connectionless природы соединения, его невозможно отфильтровать.

[Руслан Федосеев]

кхм... смотрю я на connlimit для iptables и не вижу невозможности его применить к udp.

Смотрите, вы можете на своем сервере настроить обрезку лишних пакетов. Они перестанут доходить до приложения, но тем не менее по прежнему будут присутствовать на интерфейсе и в канале. Если вам этого достаточно - то режьте у себя. Если нет - общайтесь с техподдержкой.

[Urukhayy]

Достаточно. Но если я не ошибаюсь, то посредством iptables способ такой: пускать со второго пакета IP адрес, а первый игнорить, если как правило фальш. IP отправляют по 1 пакету.

[Руслан Федосеев]

тут только вопрос - что вы подразумеваете под первым и вторым пакетом ;)
Как правильно говорит техподдержка - в udp нет понятия соединение. В рамках параметров модуля connlimit вы можете описать такое поведение - первый пакет в час отбраывается, остальные пропускаются. И каждый час это правило будет отрезать ровно один пакет. Ну или раз в 5 минут, раз в сутки... Тут уж как опишете и как настроите...

Может вам стоит организовать какое нить прокси? Правда тут уже администрированием не обойдешься кажется... Хотя можно посмотреть на ha-proxy, может через нее можно организовать подобную фильтрацию.

Answer 2

[CyberGrom]

При спуфинге пакеты прилетают с различных адресов, следовательно по ip их отфильтровать нельзя. Хотя если речь про сервер, который ориентирован на русских клиентов, то можно отрезать вообще все сети из "опасных" стран.
Далее, надо понять какие есть закономерности в прилетающих пакетах. Обычно при спуфинге, можно выделить такие закономерности как одинаковый ttl, размер пакета, порты отправления и назначения. И если к примеру увидите что у 99% пакетов одинаковый параметр, то можно отрезать атаку по этому параметру.
У некоторых провайдеров есть firewall где можно самому сказать, какие правила для входящего трафика следует применить. Стоит это несколько сотен рублей в месяц.
Вот например у МногоБайта https://mnogobyte.ru/firewall_rules.html