Attaques sur port UDP 0

Salut les gens,

Mon serveur encourt plusieurs attaques, d'environ 150Mb/s à chaque fois, et ce sur le port UDP 0. A tel point que mon fournisseur a décidé d'isoler ma machine pour le moment.

J'en retrouve l'accès demain, mais j'aimerais être sur que ça ne se reproduise plus.
J'ai pu récupérer quelques adresses IP qui ont exploité ce port, je les bloque? En gros, quelqu'un a-t-il une solution pour parer à cela? Bloquer le port? L'IP? Autre chose? Est-ce du DDOS?

Ca commence à devenir embêtant...

Un grand merci!

V.

bloquer le port l'ip ça me semble léger. tu fais quoi sur ce serveur? as-tu besoin du port 0 ?

tqz_ a dit:

bloquer le port l'ip ça me semble léger. tu fais quoi sur ce serveur? as-tu besoin du port 0 ?

Cliquez pour agrandir...

C'est un serveur de jeu MMORPG... Je n'ai jamais eu ça. Le port 0 en principe non, en fait je ne savais même pas qu'il existait.

quelle distri ou os? bizarre qu'il soit ouvert en fait

tqz_ a dit:

quelle distri ou os? bizarre qu'il soit ouvert en fait

Cliquez pour agrandir...

Effectivement, j'utilise Windows Server 2008.

Ce qui est bizarre, c'est que j'ai l'impression que l'attaque est interne...
Client adress:192.169.82.174
Port: UDP:0
Bits per Second: 1.437 M

Après j'ai 4 autres IP externes qui font 600k, 400k, 170 et 140k.

edit: en fait l'ip 192.169.82.174 correspond au data center de Limestone Networks, un host de serveur dédié... Quant aux autres IPs, elles redirigent vers.... OVH.

Perso je bloquerais le port, je pense pas que ça pose problème. Au pire tu réouvre si tu as un soucis. Mais ça n'empêchera pas ton provider de recevoir les paquets cela dit.
http://www.securiteinfo.com/attaques/hacking/udp0.shtml

Ce qui est bizarre, c'est que c'est MON serveur qui émet vers l'extérieur d'abord:

monip 192.169.82.174 UDP:6005 (x11) 149.6 K

Et puis cette IP me revient en pleine tronche sur le port 0:

192.169.82.174 monip UDP:0 1.437 M

Mouais bizarre, t'es sur que t'as pas une saloperie genre trojan? essaye quand même d'en savoir un peu plus, peut être via netstat :
http://www.techrepublic.com/blog/th...s-is-using-a-tcp-port-in-windows-server-2008/

gregsting a dit:

Mouais bizarre, t'es sur que t'as pas une saloperie genre trojan? essaye quand même d'en savoir un peu plus, peut être via netstat :
http://www.techrepublic.com/blog/th...s-is-using-a-tcp-port-in-windows-server-2008/

Cliquez pour agrandir...

Ca donne rien

Cet aprem j'ai récup mon serveur, je l'ai passé au peigne fin (Windows Update, Firewall, Antivirus, Antimalwares, block d'ip, install mini programme pour blocker des IP automatiquement...).

Qq conseils pour éviter de me refaire baiz? Si j'ai bien compris tout ce que j'ai lu, y aurait pas moyen de bloquer un DDOS... mais y a quand même quelque chose à faire non?

Et un conseil de choses à faire sur Windows Server 2008? Niveau pare-feu ou autres?

Tu sais pas installer temporairement une image system basique, voir si l'attaque continue pas afin d'être certains que t'as pas une merde qui t'auto attaque?

admix a dit:

Tu sais pas installer temporairement une image system basique, voir si l'attaque continue pas afin d'être certains que t'as pas une merde qui t'auto attaque?

Cliquez pour agrandir...

Nop, l'attaque ne continue pas. J'avais déjà eu une telle attaque y a 3 semaines, puis j'en ai eu une mercredi, et 2 jeudi...

J'ai une bande passante de 100Mbps, dont j'utilise moins d'1% en continu... sauf pendant les attaques, où ça passe à 150Mbps.

Et aucun programme qui tourne ne me parait suspect, j'ai vraiment le minimum installé.

ovh a pas une protection ddos? j'avais lu un truc là dessus

Zloup a dit:

ovh a pas une protection ddos? j'avais lu un truc là dessus

Cliquez pour agrandir...

Je suis chez Ikoula :-D J'avais pris un kimsufi OVH, mais c'était de la grosse daube (pourtant j'étais client chez eux depuis très longtemps), et donc j'ai migré vers Ikoula que je trouve pro et surtout réactif.