Skumma packet mot mina servrar

Permalänk

Skumma packet mot mina servrar

Hej har som sagt en hel del spelservrar.

Och efter min leverantör bytta ut sina coreroutrar så har jag fått skumma packet och lagg i mina spelservrar.

i /var/log/kernel.log så finns ett 1000 tals såna här packet:

Jan 17 06:25:02 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 17 20:52:56 SH04 kernel: UDP: short packet: From 83.5.254.77:0 0/105 to 80.67.10.165:0
Jan 17 20:52:56 SH04 kernel: UDP: short packet: From 83.5.254.77:0 0/105 to 80.67.10.163:0
Jan 17 20:52:57 SH04 kernel: UDP: short packet: From 83.5.254.77:0 0/105 to 80.67.10.162:0
Jan 18 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 19 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 19 21:23:21 SH04 kernel: UDP: short packet: From 79.188.189.190:63845 0/105 to 80.67.10.165:0
Jan 19 21:23:21 SH04 kernel: UDP: short packet: From 79.188.189.190:63845 0/105 to 80.67.10.162:0
SH04:/home/sw3host# cat /var/log/kern.log.1
Jan 10 06:25:03 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 10 10:57:37 SH04 kernel: UDP: bad checksum. From 80.62.8.215:1098 to 80.67.10.165:26759 ulen 33
Jan 10 10:57:38 SH04 kernel: UDP: bad checksum. From 80.62.8.215:1098 to 80.67.10.166:26759 ulen 33
Jan 10 13:20:12 SH04 kernel: UDP: short packet: From 79.245.59.6:0 0/105 to 80.67.10.162:0
Jan 10 21:10:01 SH04 kernel: UDP: short packet: From 79.210.94.137:0 0/105 to 80.67.10.174:0
Jan 10 21:10:12 SH04 kernel: UDP: short packet: From 79.210.94.137:0 0/105 to 80.67.10.165:0
Jan 10 21:10:12 SH04 kernel: UDP: short packet: From 79.210.94.137:0 0/105 to 80.67.10.170:0
Jan 11 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 11 17:19:24 SH04 kernel: UDP: short packet: From 79.234.131.4:0 0/105 to 80.67.10.165:0
Jan 11 17:37:30 SH04 kernel: UDP: short packet: From 84.63.159.225:14290 0/105 to 80.67.10.174:0
Jan 11 17:37:32 SH04 kernel: UDP: short packet: From 84.63.159.225:14290 0/105 to 80.67.10.165:0
Jan 12 06:25:02 SH04 kernel: Kernel logging (proc) stopped.
Jan 12 06:25:02 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 13 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 14 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 15 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 15 15:42:21 SH04 kernel: UDP: short packet: From 83.20.5.253:0 0/105 to 80.67.10.162:0
Jan 16 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Jan 16 09:12:04 SH04 kernel: UDP: short packet: From 77.255.35.83:16397 0/105 to 80.67.10.162:0
Jan 16 09:12:04 SH04 kernel: UDP: short packet: From 77.255.35.83:16397 0/105 to 80.67.10.165:0
Jan 16 09:12:04 SH04 kernel: UDP: short packet: From 77.255.35.83:16397 0/105 to 80.67.10.170:0
Jan 16 11:19:43 SH04 kernel: UDP: short packet: From 87.122.252.191:0 0/105 to 80.67.10.165:0
Jan 16 11:19:43 SH04 kernel: UDP: short packet: From 87.122.252.191:0 0/105 to 80.67.10.170:0
Jan 16 11:19:44 SH04 kernel: UDP: short packet: From 87.122.252.191:17251 6227/105 to 80.67.10.162:16995
Jan 16 11:19:44 SH04 kernel: UDP: short packet: From 87.122.252.191:17251 6227/105 to 80.67.10.163:16995
Jan 16 22:51:49 SH04 kernel: UDP: short packet: From 84.143.169.97:61049 0/105 to 80.67.10.170:0
Jan 16 22:51:49 SH04 kernel: UDP: short packet: From 84.143.169.97:61049 0/105 to 80.67.10.163:0
Jan 16 22:51:50 SH04 kernel: UDP: short packet: From 84.143.169.97:61049 0/105 to 80.67.10.165:0
Jan 16 22:51:52 SH04 kernel: UDP: short packet: From 84.143.169.97:61049 0/105 to 80.67.10.162:0
Jan 17 06:25:01 SH04 kernel: imklog 3.18.6, log source = /proc/kmsg started.

Och jag har iptables och jag vet inte hur mycket jag ens googlat men kan inte finna ut vad som är fel.

Har kört debuglogg på packetet men det kom inte fram mycket information.

Min kernel är 2.6.30 (av nyare modell)

Den som kan hjälpa mig med det här felet kan få en spel-server i present

Bolla även ider om ni inte ens har en aning heller om vad de kan vara så att vi kanske kan få ett svar på varför det är som det är.
//Mvh Razer

Permalänk
Medlem

ddos attack kanske?

Permalänk
Medlem

dos-attack möjligen men inte så mycket ddos av exemplet att döma eftersom det är en åt gången.. om den inte är redigerad så det ser så ut bara

Permalänk
Medlem

Någon du spöat till förbannelse i nåt spel som ska hämnas kanske?

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Benkaboy
Någon du spöat till förbannelse i nåt spel som ska hämnas kanske?

Genom att skicka UDP-paket?

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jilted82
Genom att skicka UDP-paket?

Haha ja! Snubben kanske är lika bra på att sänka en server som han är på det aktuella spelet han är sur över att förlora!

Permalänk
Medlem

Har du provat att googla på "skumma packet"?

Permalänk
Medlem

Förmodligen bara genererat av din avahi-daemon, avaktivera för att slippa att datorn skriker ut "här är jag - vad och var finns ni?" och får en massa svar.

Permalänk

hasenfrasen

Avahi-daemon har jag läst om, Men om det är som du beskriver att datorn skriker ut "här är jag"

Så menar du att den gör att varje gång denna logg visas i server leder till ett "lagg" /hack"

Kör oerhört kraftfull hårdvara med SAS diskar och annat smått och gott.

Det som visas är alltså ingen form av attack? UDP flood har man ju hört talas om. Men det har inte känns riktigt sant på kartan. Har monitorerat nätverket utan packetloss och annat.

Vänligen kommendera mera vad du menar hasenfrasen

//Mvh Razer

Permalänk
Medlem

Det ser inte ut att vara speciellt mycket sådana paket, well många men inte hög last med tanke på timestamps i loggen. Men i alla fall:

Port 0 is officially a reserved port in TCP/IP networking, meaning that it should not be used for any TCP or UDP network communications.

However, port 0 sometimes takes on a special meaning in network programming, particularly Unix socket programming. In this environment, port 0 is a programming technique for specifying system-allocated (dynamic) ports.

Instead of "hard-coding" a particular port number, or writing code that searches for an open port, Unix programmers simply specify port 0 as a connection parameter. That triggers the operating system to automatically search for and return the next available port in the dynamic port number range.

This programming technique does not work the same way in Microsoft Windows as it does in Unix.

Jag kan tillägga att professionella brandväggar som tex CheckPoint och Clavister droppar paket med sourceport 0 per default så om du kör IP tables lägg upp en dropregel och släng skiten åt fanders

Om det skulle bero på Avahi som hasen nämnde så varför inte bara testa att döda avahi-daemon och se om problemet försvinner då jag misstänker att du inte använder den i alla fall?

Du skulle också kunna ta en packetdump (pcap) och öppna den med Wireshark då just WS har en hel del intressant info om olika paket / trafiktyper.

Permalänk

Vad jag kollat nu så kan jag inte hitta något avahi-daemon i min server.

/etc/init.d/**** Finns den ej i.

så måste vara något annat som dumpar dom där loggarna,

tack för tipset tänkt på att blocka alla UDP utom dom som spelen ska ha.

Gjorde mig en regel som ser ut som följer :

/sbin/iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 27015 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp -j DROP

Permalänk
Medlem

Det är förmodligen en tjänst.

ser du något om du kör:
ps -aux | grep avahi

Eller så kan du döda den genom:
sudo service avahi-daemon stop

För att hindra att avahi startas alls:
sudo vi (eller gedit om du är lagd åt det hållet) /etc/default/avahi-daemon

Ändra: AVAHI_DAEMON_START=1
Till: AVAHI_DAEMON_START=0

Annars borde en sudo apt-get purge hjälpa