Um dos meus servidores está sendo inundado com pacotes udp em portas aleatórias.
12:11:54.190442 IP 182.48.38.227.60173 > localhost.51523: UDP, length 1
12:11:54.190447 IP 182.48.38.227.60173 > localhost.23769: UDP, length 1
12:11:54.190560 IP 182.48.38.227.60173 > localhost.4655: UDP, length 1
12:11:54.190564 IP 182.48.38.227.60173 > localhost.13002: UDP, length 1
12:11:54.190685 IP 182.48.38.227.60173 > localhost.52670: UDP, length 1
12:11:54.190690 IP 182.48.38.227.60173 > localhost.21266: UDP, length 1
12:11:54.190696 IP 182.48.38.227.60173 > localhost.7940: UDP, length 1
12:11:54.190810 IP 182.48.38.227.60173 > localhost.35950: UDP, length 1
12:11:54.190818 IP 182.48.38.227.60173 > localhost.62370: UDP, length 1
12:11:54.190828 IP 182.48.38.227.60173 > localhost.28225: UDP, length 1
12:11:54.190935 IP 182.48.38.227.60173 > localhost.56093: UDP, length 1
12:11:54.190939 IP 182.48.38.227.60173 > localhost.54250: UDP, length 1
12:11:54.190941 IP 182.48.38.227.60173 > localhost.15275: UDP, length 1
12:11:54.190948 IP 182.48.38.227.60173 > localhost.28750: UDP, length 1
Eu tenho muitos desses. Eu sei que se o sistema obtiver um pacote udp, ele verificará se algum aplicativo deseja manipulá-lo, caso contrário, ele enviará um pacote de volta. Para evitar isso eu virei o blackholing para o udp.
net.inet.udp.blackhole=1
Devo acrescentar que eu bloqueio cada atacante com o meu pf (filtro de pacotes) e parece ajudar, mas ele parece ter acesso a algum botnet e muda endereços IP de origem como eu mudo minhas meias OU ele é apenas spoofing ip de origem de pacotes.
De qualquer forma, o invasor ainda é capaz de inundar meu servidor e eu não sei como me defender dele.
Eu gostaria de receber ajuda.
PS. Eu não posso pagar um firewall de hardware;)