[问题求助]俺用iptables防不住近期最猛的网吧病毒，rx type 75 [复制链接]

近期全国很多网吧出现掉线.或掉包情况，在bbs.t.xwm.com上有很多帖子。我正好也遇上了，结合全国网友的帖子，总结一下：    美容
1.症状为掉.包或掉线,流量非常大             汽车
网吧出问题时,ping外网掉包,有时非常严重,有的路由抵挡不住,就死掉了在电信端可以监测到.流量非常大..比如我网吧是10M光纤,在电信显示带宽占用80M,一限速下来,就掉呀掉.在路由器上直接.p.ing掉包不多.说明与nat有关?但是top看cpu占用非常低的.学习
2.疯狂.发送到7000端口的包，类型为rx type .75域名
在路由上抓包，发觉内网某台电脑疯狂发送到外网某ip的7000端口.的包，类型为rx type 75 (1046) ，那个1046是字.节吧，但是rx type 75是什么？谁能告诉我，在google上也没查到。根据抓包中每包间隔时间.计算，每秒钟此种包发送10k个。由于路由上的linux是最小安装，没有mrtg之类工具，所以没看流量。外网的ip也不是固定的，不过似乎只有几个.。.              乙肝
3.由及时雨外挂引起
马上找到这台内网机，上面只开了传奇外挂--及时雨pk7.72版。关机重启后，系统有还原软件的，就没有问题了。但如果只是关闭这个外挂，没有用的，我用netstat和active port及任务管理器等看，都没能发觉有哪个程序在发送包 http://upload.bbs.csuboy.com/Mon_1004/126_7054_893987e7a18c182.gif[/img](        游戏          )
4.此外挂只是有时发毒
准确说是大部分时间不发毒.。而且版本也未必确定，有人说其他版本也有问题，是因为作者留了后门，想什么时候发就什么时候发。又有人说不是外挂本.身的毒，是外挂运行后弹出的广告窗口，那几个网站有毒，然而我单独打开那几个网站又没发现.有毒。而且此外挂运行有时symantec会提示有什么木马，但更多时候没发觉。而且symantec是显示已经成功隔离.了。.甚至有人说其他外挂似乎也有。.
5.解决办法不明，关键是不能禁止这.个外挂             电子
这个外挂很好用，.顾客非常喜欢。况且不是次次发毒.，所以还不能禁止。--- 印刷
有人说自己限制单机流量就解决了。但有人说自己一直限制的，也没用。况且用TC每台机限制流量的话，100台机就要100条规则，相当占资源，可怕~~。又有人说，禁止那几个弹出窗口的..网站就行了，然而我试的时候，没发觉那几个网站有毒，网站上也有人表示异.议。健康
6.用iptables禁止发毒机到7.000都不行.
我用ipta.bles在FORWARD上禁止发毒机到7000端口，竟.然没什么作用，依然掉包。不过一重启发毒机就好了。 投资
你.说是因为cpu处理不过来吧，明明top显示资源占用相当低。你说是realtek的813.9网卡太烂吧，内网ping路由ip非常正常。    外汇
我本想再试禁止.1046字节的包，不过一来不知iptable.s哪个模块是搞这个的，二来难道这会比直接drop 7000端口强？.


请教大家了.呀！.rx type 75 (1046)这是什么玩意呀，是不是碎片？这种drop都不够猛，是什么原因呀，是不是2.4内核不如2.6内核.？我现在用的redhat9，准备换成fedora core 5试试。.

[ 本帖最后由 gyd.oesit 于 2006-9.-26 18:50 编辑 ]投资

你连什么协议都没搞清楚就说 iptables 防毒无效？
请问，你所谓的 “IP 7000 端口” 是什么协议？TCP 还是 UDP？你的 iptables 又是怎么做的？
什么都没说就直接否定，似乎不大应该是搞技术的人做出来的事。。。

tcp协议，忘了说了。

我的iptables脚本

#!/bin/sh



LANIP_RANGE="192.168.0.0/24"

modprobe ip_nat_ftp

modprobe ip_conntrack_ftp

echo  "1" > /proc/sys/net/ipv4/ip_forward

echo "32768" > /proc/sys/net/ipv4/ip_conntrack_max

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

iptables -t nat -A POSTROUTING -s $LANIP_RANGE -j MASQUERADE

iptables -A INPUT -p icmp -m limit --limit 6/s -j ACCEPT



#Disable SMTP port 25

iptables -A FORWARD -s $LANIP_RANGE -p tcp --dport 25 -j DROP
复制代码

其中-j MASQUERADE 这个不如-j SNAT，但具体到这个问题，似乎没什么影响。

出发毒情况时，我这样作，比如外网是 1.2.3.4

iptables -I FORWARD -p tcp -d 1.2.3.4 --dport 7000 -j DROP


我自己抓的包没看到了，在其他网站看到一个，发出来

03:19:16.393679 IP 192.168.0.183.1163 > 219.153.45.19.7000: rx type 75 seq 1263225675 ser 1263225675 (1046)
03:19:16.393842 IP 192.168.0.183.1130 > 219.153.45.19.7000: rx type 75 seq 1263225675 ser 1263225675 (1046)
03:19:16.393930 IP 192.168.0.183.1150 > 219.153.45.19.7000: rx type 75 seq 1263225675 ser 1263225675 (1046)
03:19:16.394020 IP 192.168.0.183.1129 > 219.153.45.19.7000: rx type 75 seq 1263225675 ser 1263225675 (1046)

该文章出自
http://kano.cc163.net/gbook/view.php?p=3


最讨厌的是这个问题不是一直出，所以难以检测解决。开这外挂大部分时候没事，上面发的那个网站中的人也是如此：（

[ 本帖最后由 gydoesit 于 2006-9-26 12:15 编辑 ]

用 ethereal 抓一些包发上来我看一下
另外，你说的问题应该用 iptables 很好解决，如果在 FORWARD 里被 DROP 了，应该不会跑到电信去，只能说你的设置哪里有问题

楼上老大，ethereal没装。当时我是用tcpdump抓的，可惜保存的文件被后来抓的包覆盖了。

不过就象上面发的一样，是rx type 75 (1046)  ，这个rx type 75是什么呀？？大大！

大大的意思是想看看这1046字节是什么吧，我猜想应该全是一样的内容，而且也没什么意义，反正起到攻击作用就行了。可能这个外挂攻击私服用的。因为私服的登录端口就是7000

至于说iptables 禁止后不到外网去，那是你误会了我的意思。我在最上面帖子说的是，没禁止之前，电信那边看到我的流量是80M。  至于禁止后，我没有再联系电信机房，所以不知道。

rx type 75 (1046) 是什么我也不知道，因为我不知道你抓包的参数用的是什么



QUOTE:大大的意思是想看看这1046字节是什么吧，我猜想应该全是一样的内容

这个猜没有用，只有抓包才知道



QUOTE:我在最上面帖子说的是，没禁止之前，电信那边看到我的流量是80M。

那你又为何说连 iptables 都防不住呢？

有效果, 我监控过, 看到7000的udp包太多然后
iptables -I FORWARD -p udp --sport 7000 -j DROP

效果显著啊! 对外流量立马就降下来了!

QUOTE:原帖由 gydoesit 于 2006-9-26 12:05 发表
tcp协议，忘了说了。

你确定是 TCP ？！
1、若是 tcp，tcpdump 不是那样提示的
2、网游多是 udp 的

一般在机上装个tcpdump  ifstat or iftop

tcpdump -n -s 0
看看都些什么东西!


iptables封一下

ifstat看看对外流量是多少!

传奇私服是用的tcp 7000,7100,7200三个端口。因为我在有台私服前作的有linux的nat，这个清楚。
这个破机现在没有这些软件，也不方便装，因为什么开发包也没有，装个vsftpd都提示少这少那，硬盘只有2G。现在正另外准备一台电脑，正在研究samba中。希望明天早上换上。然后再来观察。

最后，小声问一下，rx type 75 究竟是什么意思？