Discussion :

[maloy]

Bonjour,

J'utilise tcpdump pour avoir des infos sur le trafic ce qui donne ça:

21:23:38.426495 IP ip.36295 > ip: UDP, length 4
21:23:38.426545 IP ip.10439 > ip: UDP, length 4

je voudrais bloquer ce flood avec -I INPUT -p udp -m length --length 4 -j DROP mais ça ne fonctionne pas j'ai cru comprendre qu'il fallait mettre 28 ou 32 pour le bloquer mais ça peut gêner les utilisateurs.

Donc j'aurai besoin d'aide pour avoir plus d'infos sur le flood réplétif pour l’analyser afin de la bloquer plus précisément.


Merci.

[kaela]

Bonjour,

tu ne peux pas simplement écrire une règle pour bloquer les adresses ip non autorisé?
qui génère ce flood quelqu'un externe au réseau?

[maloy]

quand il y en a des milliers toujours différentes non.

[BufferBob]

salut,

ce serait interessant de voir le détail (dump) du paquet en question si c'est possible, mais comme ça au pifomètre je dirais que c'est un paquet IP avec le champ protocol == UDP, pas un vrai paquet UDP, du coup il faut peut-être envisager de deny sur la base du paquet IP, à vérifier...