Hola, este post es viejo, pero, que más da contestarlo .
Lo que estabas recibiendo es un query cookies y primero vamos a fixear el problema que tienes en el server log, que es muy importante, ya que, tu servidor se podría caer por esto mismo, aunque el ataque ya lo tuvieras parcheado.
Lo único que debes hacer es poner en el server.cfg la siguiente linea.
cookielogging 0
Bien, ya no se debería de loguear en el server log.
Ahora veamos como se ve el ataque con un pcap.
Subraye lo más importante.
Bien, ahora, ¿cómo pararlo? Podemos utilizar dos técnicas, la primera, implemetar reglas por iptables, como está;
iptables -A INPUT -p udp -m udp --dport 7777 -m string --algo bm --hex-string '|081e77da|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 7777 -m string --algo bm --hex-string '|081e77da|' -j DROP
Con esta regla, no creo que puedas llegar tan lejos, por culpa de la botnet . Entonces, la única solución es una whitelist. Estas whitelist ya se han estado probando y por ahora estos ataques, que, por años han sido muy dificiles de solucionar, ya están fixeados .
Lo que estabas recibiendo es un query cookies y primero vamos a fixear el problema que tienes en el server log, que es muy importante, ya que, tu servidor se podría caer por esto mismo, aunque el ataque ya lo tuvieras parcheado.
Lo único que debes hacer es poner en el server.cfg la siguiente linea.
cookielogging 0
Bien, ya no se debería de loguear en el server log.
Ahora veamos como se ve el ataque con un pcap.
Subraye lo más importante.
Bien, ahora, ¿cómo pararlo? Podemos utilizar dos técnicas, la primera, implemetar reglas por iptables, como está;
iptables -A INPUT -p udp -m udp --dport 7777 -m string --algo bm --hex-string '|081e77da|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 7777 -m string --algo bm --hex-string '|081e77da|' -j DROP
Con esta regla, no creo que puedas llegar tan lejos, por culpa de la botnet . Entonces, la única solución es una whitelist. Estas whitelist ya se han estado probando y por ahora estos ataques, que, por años han sido muy dificiles de solucionar, ya están fixeados .