OVH Community, your new community space.

Atak DDoS na serwer.


victor
22-05-2012, 16:11
Ja także otrzymałem ten mail z pogróżkami. Nie chciałem robić publikacji bo teraz ludzie się dowiedzą że bitcoin nadaje się nie tylko do unikania podatków ale także do haraczy, wymuszeń i niebawem zwykli mafiozi mogą go używać. Zbyt dużo wolności źle, zbyt mało wolności źle. Jak zwykle skala między złem a złem a wróg z każdej strony się czai.

90% komputerów w botnetach należy/jest obsługiwane przez kobiety. Gdyby kobiety nie miały dostępu do internetu to zagrożenia ddos-ami były by znikome. Internet jest z natury nie zabezpieczony, nie jest to technologia foolproof ...

sLoDkI
22-05-2012, 14:36
http://niebezpiecznik.pl/post/szanta...dzie-ddos/?zfb

Pozdrawiam

tzb
22-05-2012, 07:30
Droga ta waluta.


Kod:
Return-path: 
Envelope-to: [mój@e-mail]
Delivery-date: Mon, 21 May 2012 23:10:19 +0200
Received: from server2.allsitecontrol.com ([63.143.36.210])
	by sw2.it-joan.pl with esmtps (TLSv1:AES256-SHA:256)
	(Exim 4.69)
	(envelope-from )
	id 1SWZrv-0004as-5w
	for [mój@e-mail]; Mon, 21 May 2012 23:10:19 +0200
Received: from h-234-182.a189.priv.bahnhof.se ([81.170.234.182]:38100 helo=internal.tormail.org)
	by server2.allsitecontrol.com with esmtpsa (TLSv1:RC4-SHA:128)
	(Exim 4.77)
	(envelope-from )
	id 1SWZpd-004IX1-V2
	for [mój@e-mail]; Mon, 21 May 2012 17:08:05 -0400
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=tormail.org; s=tm;
	h=Message-Id:X-TorMail-User:Subject:To:From:Date:Content-Transfer-Encoding:Content-Type:MIME-Version; bh=rBT8+9/sEXZ4Y2M8g8hZy8fM0D7VHn/Q0cyiGk/43nk=;
	b=olgMmBtUHmZMFHS7CRTAB7sFIzBe1qM/o8JIausUS39kgZD8Wu4+XEup0Z9bkzICqzx+mNVoDtQoAk+6uOdXa6eHYasLVDKZmzpWyXSt4qvoM1bXg3gkhQfNBuzPPg4LsXE9eZZ/VEzApF6yiuNM2ovQufwUFrBs4iRZsKlo5bE=;
Received: from prot3ct0r by internal.tormail.org with local (Exim 4.63)
	(envelope-from )
	id 1SWZoR-00043K-RT
	for [mój@e-mail]; Mon, 21 May 2012 21:06:43 +0000
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 8bit
Date: Mon, 21 May 2012 21:06:43 +0000
From: prot3ct0r 
To: <[mój@e-mail]>
Subject: Ataki DDOS
X-TorMail-User: prot3ct0r
Message-Id: <1SWZoR-00043K-RT@internal.tormail.org>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server2.allsitecontrol.com
X-AntiAbuse: Original Domain - [moja domena]
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - tormail.org
X-Source: 
X-Source-Args: 
X-Source-Dir:

borec
22-05-2012, 07:24
BTC to BitCoin, wirtualna waluta.

Cytat Napisał bitcoin.pl
1BTC = 5.09674 $
1BTC = 17.1304 zł
Pokaż nagłówek tego maila. Opcje są dwie - lamusy straszą wykorzystując informacje o atakach na nazwa.pl, albo faktycznie mają czym uderzyć. Dzisiaj kupienie botnetu nie jest jakimś strasznym problemem, więc jest to wysoce prawdopodobne.

tzb
22-05-2012, 07:11
A ja tak z troszkę innej beczki pozwolę sobie zapytać.

niedawno otrzymałem mail z "pogróżkami" o następującej treści:

from prot3ct0r@tormail.org

Witam!
Reprezentuję grupę osób, która wspólnie od kilku lat zaangażowana jest w tworzenie jednej z większych sieci botnet o zasięgu globalnym. Obecnie posiadmy na całym świecie spore zasoby systemowe do naszej dyspozycji. Wam, jako firmie hostingowej, nie muszę tłumaczyć co możemy zrobić mając do dyspozycji taki potencjał Jednym ze sposobów w jaki pieniężymy naszą pracę jest wszelkiego rodzaju DDOS. Od małych stron, po duże korporacje. Jak ktoś płaci, to dla nas nie ma problemu żeby puścić ddos na serwer i go rozłożyć. Do tej pory odmawialiśmy klientom chcącym atakować strony utrzymywane przez polskie firmy hostingowe (taki mały patriotyzm i sentyment). Jako, że ostatnio otrzymujemy coraz więcej ofert dotyczących ddosu między innymi na serwery utrzymywane przez Was, to postanowiliśmy zmienić naszą politykę. Botnet został stworzony żeby zarabiał pieniądze, więc nie możemy dłużej odmawiać klientom. Polacy chyba wreszcie odkryli, że można ddos zakupić i teraz to wykorzystują do niszczenia konkurencji

W związku z tym postanowiliśmy zrezygnować z ochrony polskich firm hostingowych i chętnym firmom oferujemy abonament. Za kwotę 25 BTC miesięcznie macie od nas spokój ( przy obecnym kursie, to są dla Was grosze ). My gwarantujemy, że z naszej strony nie będą następować żadne ataki ( trzeba tylko przesłać nam listę/pulę adresów IP, które do Was należą - nie jest to potrzebne jeżeli macie ustawione revdnsy we własnej domenie ). Można również zapłacić za pół roku ( 150 BTC ) lub za cały rok z góry ( 300BTC ). Zawsze przesyłamy przypomnienia o kończącym się abonamencie.

Próbkę naszych możliwości postanowiliśmy przedstawić dzisiaj na przykładzie jednej z czołowych firm. Tutaj znajduje się komunikat w tej sprawie:
http://komunikaty.nazwa.pl/2012/05/2...prawie-awarii/
Powiedzieli, że nie chcą naszego abonamentu i woleli straszyć policja...bitch, please...dzisiaj już zmienili zdanie, tylko że stawkę mają większą, dużo większą No ale teraz możemy żądać więcej, bo już wiedzą, że i tak się nie obronią...było nie zaczynać tylko przyjąć od razu nasze warunki
Swoją drogą, to byliśmy zszokowani, że tak szybko polegli, bo mieliśmy jeszcze spory zapas.

Jeżeli nie są Państwo zainteresowani współpracą, to oczywiście nie ma problemu, będziemy wtedy przyjmować zlecenia poszczególnych ataków na serwery, bo chcemy zarabiać na tym co stworzyliśmy Proszę nie brać tego osobiście, dla nas to zwykły biznes. Kwotę już i tak daliśmy mega niską. Jest to cena promocyjna obowiązująca tylko teraz. Później ceny będą już dużo wyższe ( minimum dziesięciokrotnie ), a doskonale wiemy, że się odezwiecie jak będziecie codziennie walczyć z atakami ( hmm tylko jak tu walczyć? Wyciąć cały internet? ).

Współczuję branży...strona nie działa raptem przez kilka minut i już telefony z pretensjami od klientów:/ Znam to doskonale z czasów gdy pracowałem w jednej z takich firm Atak DDOS przez cały dzień roboczy i klienci już pewnie szukają nowej firmy hostingowej, bo nie mają jak pracować bez poczty i dostępu do swojej strony internetowej. Klienci nie rozumieją, że to jest niezależne od hostingu, oni winią firmę hostingową i przenoszą się gdzie indziej. Proszę się zastanowić czy warto ryzykować utratę klientów dla tych kilku groszy.

Oczywiście nic nie stoi na przeszkodzie żeby Państwo również korzystali z naszych usług. W Polsce zalecamy ataki w godzinach 9-23. Jest wtedy największy ruch na stronach i najbardziej się ludzie wkurzają gdy strony nie działają Można w ten sposób nieźle zaszkodzić konkurencji. Już sporo polskich firm hostingowych zakupiło abonament, więc może być z tym ciężko, ale proszę pytać to damy znać czy jest możliwe zaatakowanie danego serwera. Jeśli tak, to potrzebujemy jedynie adres IP i patrzymy jak serwer przestaje odpowiadać Tylko małe firemki sądzą na początku, że nie potrzebują naszego abonamentu, a potem wracają na kolanach i muszą płacić więcej.

Prosimy o odpowiedź maksymalnie do końca tego tygodnia czy są Państwo zainteresowani współpracą, bo jeśli nie, to nie będziemy już dalej zwodzić klientów i po prostu przyjmiemy przesłane zlecenia. Brak odpowiedzi również uznajemy za rezygnację z naszych usług.
W razie zainteresowania prześlemy Wam adres bitcoin, na który należy dokonać opłaty.

Pozdrawiamy!
Czy ktoś z was się z tym spotkał?
Co to za waluta BTC?

uwierzyli byście w takiego maila? Zapewne jeśli są prawdziwi i przypuszczą kilka ataków na nasze serwery to znikniemy z rynku. Smutno się robi na myśl że kilka lat ciężkiej pracy ktoś może zepsuć w kilka minut i bez żadnych konsekwencji ale cóż takie są realia.

wiem że skutecznych zabezpieczeń przed atakami DDoS nie ma ale może jest to dobry temat do pogadania jak się przed takimi atakami maxymalnie zabezpieczyć... będzie dla potomnych.

Proszę was o wypowiedź na temat waszych sposobów zabezpieczania serwerów.

victor
17-05-2012, 15:22
Cytat Napisał seal
Co innego port monitor ktorefo uzywa ovh do wykrywania 'hack detection' a co innego urzadzenie filtrujace... Jego wydajnosc ma bezposredni wplyw na ruch nadzorowany.

Pytanie jak robia uciecie dostepu przy 'hack detect' lub po braku platnosci - pewnie port ka switchu off co nie obciaza onfrastruktury....
Sam routing wymaga inspecji pakietów ip, tak samo jak niedawno wprowadzony ?ratelimit? na połaczenia udp. Moc się tylko marnuje w przeszukiwaniu większej tablicy dropowania i dod. (równoległym) skanowaniu adresu źródłowego (czego się w sytuacji normalnej nie robi). Gdyby każda blokada (np. do zrobienia w panelu) (na routerze brzegowym) np. automatycznie była zdejmowana po 24 godzinach (z możliwością nowego założenia) to większa tablica routingu czy dropowania do przeszukiwania nie byłą by taka straszna, chociaż jeśli adresy źródłowe nie są aktualnie wcale skanowane to może to wymagać podwojenia mocy routerów brzegowych. Myśle że jednak to już jest, tylko kwestią jest rozrost tablic.

seal
16-05-2012, 16:15
Co innego port monitor ktorefo uzywa ovh do wykrywania 'hack detection' a co innego urzadzenie filtrujace... Jego wydajnosc ma bezposredni wplyw na ruch nadzorowany.

Pytanie jak robia uciecie dostepu przy 'hack detect' lub po braku platnosci - pewnie port ka switchu off co nie obciaza onfrastruktury....

victor
16-05-2012, 01:00
Cytat Napisał seal
Ograniczenie ruchu na poziomie sprzętu operatora (OVH) powoduje obciążenie tamtych systemów sieciowych więc nie dziwne że starają sie tego nie robić.
i tyle samo ich kosztuje gdy tego nie robią. A filtrator (już) jest i bada pakiety w obu przypadkach + samo przeniesienie ruchu kosztuje tyle samo.

seal
14-05-2012, 20:14
jak tu mówił przedmówca - wszystko zależy od tego jakie masz usługi na serwerze - może być tak że najlepszym rozwiazaniem dla Ciebie będzie sprzętowa ASA plus wirtualna szafa i Twoje serwery za ASą - niestety to kosztuje... ;/

Ograniczenie ruchu na poziomie sprzętu operatora (OVH) powoduje obciążenie tamtych systemów sieciowych więc nie dziwne że starają sie tego nie robić.

bart613
14-05-2012, 15:04
Cytat Napisał desavil
Tak sobie myślę... po co w ogóle robić firewall, przecież co bym nie zablokował jak ktoś będzie atakował mój serwer to i tak pakiety będą dochodzić - zapychać mi łącze, więc na co są robione te wszystkie zapory? Chyba tylko przez atakiem typu brute force.
Po to żeby się Twoje usługi na serwerze nie zapychały podczas ataków (np. pomyśl że każde z tych połączeń by inicjalizowało połączenie SSH które trzeba wrzucić do conntracka etc. szybko by limity poszły, szczególnie defaultowe) i żeby limitować dostęp oraz dopuszczać tylko "chciany" ruch.

Nie wiem co tam masz na tym serwerze, ale jeżeli jest to jakaś*aplikacja WWW polecam sprawdzić usług typu fastly.com lub cloudflare.com (a od dzisiaj nawet AWS Cloudfront). Jeden z powodów używania tego typu usług to właśnie fakt że wszystkie ataki rozbijają się*o nich a nie o Ciebie.

Polecam też dokładnie doczytać czym są ataki DoS i DDoS - pełniejsza znajomość tematu pomoże Ci lepiej zrozumieć problem i dlaczego niektóre rzeczy są niemożliwe lub dostawcy ich nie robią.

desavil
14-05-2012, 14:54
Gdzie w panelu można ograniczyć UDP?

Btw.
Tak sobie myślę... po co w ogóle robić firewall, przecież co bym nie zablokował jak ktoś będzie atakował mój serwer to i tak pakiety będą dochodzić - zapychać mi łącze, więc na co są robione te wszystkie zapory? Chyba tylko przez atakiem typu brute force.

victor
14-05-2012, 14:52
Skoro ovh potrafi ograniczać tempo ruchu udp to są w stanie bez trudu ograniczyć icmp. Jedno i drugie powinni wyprowadzić na panel.

no4b
14-05-2012, 14:27
Tak działa świat. Deal with it.

desavil
14-05-2012, 14:19
Brawa dla OVH...
Odpowiedź BOK:
Witam,

Niestety nie mamy możliwości blokowania takiego ruchu przychodzącego do Pana serwera i wykonujemy takich usług.
Rozmowa telefoniczna:
Niema możliwości ograniczenia ilości pakietów na dany port/na serwer. Mogę jedynie wykupić sprzętowy firewall. Po prostu brawa.. mam może teraz go wykupować na każdy serwer...
Ba... najlepiej koleś powiedział - może Pan do nas wysłać adres IP serwera i my go zablokujemy na określony czas, tak w tym czasie mój serwer dedykowany będzie niedostępny ponieważ zablokują jego adres IP, płacę za coś czego niema.

tzb
14-05-2012, 10:32
Cytat Napisał desavil
Do OVH już wysłałem wiadomość przez BOK w panelu zaraz kilka minut po ataku z logami i wszystkim, czekam cały czas na odpowiedź.

Chciałbym zablokować wszystko z ICMP, ale tak abym z serwera mógł pingować inne serwery (w celu sprawdzania ich np. statusu) oraz abym ja mógł pingować swój serwer z komputera itp. i dostawać odpowiedź czy działa, tak samo aby system monitoringu OVH nie wykrywał usterki, bo jak ping nie działa to tak się dzieje.

Mam tylko nadzieje, że OVH mi serwera nie zablokuje, bo przecież to nie ja jestem winny atakom i nic zrobić nie mogę...
Ja używam CSF (http://www.configserver.com/cp/csf.html) - można powiedzieć że to jest nakładka na Iptables
dużo prościej odpowiednio skonfigurować zaporę no i od każdej opcji masz opis. Co prawda trzeba troszkę czasu poświęcić na konfigurację ale warto bo to bardzo skuteczne narzędzie.

desavil
13-05-2012, 21:02
Do OVH już wysłałem wiadomość przez BOK w panelu zaraz kilka minut po ataku z logami i wszystkim, czekam cały czas na odpowiedź.

Chciałbym zablokować wszystko z ICMP, ale tak abym z serwera mógł pingować inne serwery (w celu sprawdzania ich np. statusu) oraz abym ja mógł pingować swój serwer z komputera itp. i dostawać odpowiedź czy działa, tak samo aby system monitoringu OVH nie wykrywał usterki, bo jak ping nie działa to tak się dzieje.

Mam tylko nadzieje, że OVH mi serwera nie zablokuje, bo przecież to nie ja jestem winny atakom i nic zrobić nie mogę...

mario1973
13-05-2012, 21:00
Zrób tylko DROP , a nie REJECT


Niestety. Zupełnie nic nie możesz zrobić więcej - to co dochodzi do Ciebie i tak zabija łącze.

Może poprosić OVH o zablokowanie wszystkich ICMP idących do Ciebie ?

M

desavil
13-05-2012, 20:18
Na chwilę obecną nie mogę zablokować wszystkiego i dodać wyjątków, portów. Jak będę miał chwilkę to to zrobię. Teraz chciałbym zrobić tylko z tym ICMP.

Czy takie coś wystarczy:
Kod:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
Jeżeli jest to złe/niepoprawne bardzo bym prosił o ew. poprawę, doradzenie.

@edit
Postanowiłem to trochę zmienić, tylko nie przestraszcie się hehe:
Kod:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp --icmp-type 1 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 2 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 3 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 4 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 5 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 6 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 7 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 9 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 10 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 12 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 13 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 15 -j DROP
Chciałem zrobić w inny sposób, prostszy, ale nie chce działać nie wiem dlaczego:
Kod:
iptables -A OUTPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT

seal
13-05-2012, 20:03
dropuj pakiety bez ICMP unreachable bo tym Ty generujesz sobie sztucznie ruch i obciazasz maszyny.
Zrob iptables dla portów których nie uzywasz i nie odsyłaj ICMP (host/port unreachable)

desavil
13-05-2012, 19:36
Nie mam pojęcia... Najpierw do znajomego na GG napisał ktoś i powiedział, że atak wykona itp.

Teraz widzę, że drugi serwer jest atakowany...
Na moje szczęście w nieszczęściu to to, że serwery mają po 1Gbps, 10Gbps neta

Skoro w logach mam samo ICMP, mogę to jakoś dropować?

mario1973
13-05-2012, 19:21
niezły DDOSIK....podejrzewasz czym sobie mogłeś 'zasłużyć' ? Konkurencja ?

M

WMP
13-05-2012, 16:20
Ustaw w iptables dropowanie pakietów na portach na których nic nie jest otwarte. Nic więcej nie zrobisz, chyba ze jakis mądry system, np. snort.

desavil
13-05-2012, 14:37
Witajcie, w dniu dzisiejszym ok. godz. 14:00-15:00 miałem atak typu DDoS (świadczy o tym różnorodność adresów IP). Łącze na serwerze zarówno UP/DOWN jest średnio codziennie rzędu 1Mbps, dziś w podanych godzinach ruch przychodzący wyniósł ponad 200Mbps!

Obrazki wykresów:



Bardzo niewielki wyciąg z logów na serwerze, gdyż jest ogromny:
Kod:
14:12:32.272747 IP IP-DEDYKA > 9.184.133.195: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.272816 IP IP-DEDYKA > 199.155.85.1: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.272819 IP IP-DEDYKA > 212.111.220.28: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.272879 IP IP-DEDYKA > 9.209.221.65: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.272885 IP IP-DEDYKA > 66.35.112.166: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.272916 IP IP-DEDYKA > 191.224.46.0: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273017 IP IP-DEDYKA > 174.111.62.32: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273069 IP IP-DEDYKA > 154.199.165.105: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273132 IP IP-DEDYKA > 7.129.81.50: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273196 IP IP-DEDYKA > 218.111.237.218: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273264 IP IP-DEDYKA > 17.97.38.50: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273314 IP IP-DEDYKA > 20.132.204.239: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273373 IP IP-DEDYKA > 84.89.14.46: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273488 IP IP-DEDYKA > 173.161.204.233: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273551 IP IP-DEDYKA > 128.53.172.19: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273611 IP IP-DEDYKA > 182.107.144.46: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273615 IP IP-DEDYKA > 9.84.84.217: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273647 IP IP-DEDYKA > 94.2.200.96: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273722 IP IP-DEDYKA > 202.61.246.59: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273785 IP IP-DEDYKA > 69.14.74.154: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273849 IP IP-DEDYKA > 169.226.192.223: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273914 IP IP-DEDYKA > 65.238.126.145: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.273917 IP IP-DEDYKA > 112.169.101.33: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274051 IP IP-DEDYKA > 92.50.100.68: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274118 IP IP-DEDYKA > 118.41.97.200: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274123 IP IP-DEDYKA > 137.104.89.84: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274158 IP IP-DEDYKA > 18.134.180.101: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274241 IP IP-DEDYKA > 6.238.67.146: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274308 IP IP-DEDYKA > 110.17.103.20: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274313 IP IP-DEDYKA > 69.88.126.119: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274352 IP IP-DEDYKA > 38.127.222.84: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274405 IP IP-DEDYKA > 105.74.227.32: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274408 IP IP-DEDYKA > 62.41.86.162: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274532 IP IP-DEDYKA > 34.157.202.32: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274595 IP IP-DEDYKA > 27.175.4.109: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274658 IP IP-DEDYKA > 55.230.38.242: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274761 IP IP-DEDYKA > 143.18.243.190: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274874 IP IP-DEDYKA > 76.120.174.16: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274877 IP IP-DEDYKA > 183.242.47.16: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274878 IP IP-DEDYKA > 177.250.6.103: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274879 IP IP-DEDYKA > 143.41.10.198: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.274949 IP IP-DEDYKA > 30.254.109.204: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275014 IP IP-DEDYKA > 77.100.57.212: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275061 IP IP-DEDYKA > 48.187.225.38: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275111 IP IP-DEDYKA > 171.57.139.140: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275114 IP IP-DEDYKA > 20.71.156.170: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275253 IP IP-DEDYKA > 71.209.93.34: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275307 IP IP-DEDYKA > 113.6.238.115: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275372 IP IP-DEDYKA > 25.19.92.152: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275425 IP IP-DEDYKA > 49.122.252.96: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275634 IP IP-DEDYKA > 174.131.246.102: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275703 IP IP-DEDYKA > 208.121.16.31: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275711 IP IP-DEDYKA > 119.10.225.35: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275769 IP IP-DEDYKA > 111.195.216.42: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275817 IP IP-DEDYKA > 55.182.121.253: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275866 IP IP-DEDYKA > 19.242.9.2: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275869 IP IP-DEDYKA > 133.234.35.5: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.275990 IP IP-DEDYKA > 103.161.239.82: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276033 IP IP-DEDYKA > 159.234.7.146: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276095 IP IP-DEDYKA > 12.164.229.162: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276098 IP IP-DEDYKA > 128.157.187.119: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276137 IP IP-DEDYKA > 61.24.96.95: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276188 IP IP-DEDYKA > 117.167.198.175: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276252 IP IP-DEDYKA > 218.80.89.122: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276301 IP IP-DEDYKA > 94.229.211.205: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276369 IP IP-DEDYKA > 190.205.81.58: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276408 IP IP-DEDYKA > 137.23.53.168: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276563 IP IP-DEDYKA > 107.81.119.40: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276612 IP IP-DEDYKA > 87.52.104.20: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276661 IP IP-DEDYKA > 20.191.157.171: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276663 IP IP-DEDYKA > 209.152.149.171: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276784 IP IP-DEDYKA > 53.210.229.18: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276837 IP IP-DEDYKA > 180.237.30.118: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276881 IP IP-DEDYKA > 22.57.247.57: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276943 IP IP-DEDYKA > 53.233.252.25: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.276946 IP IP-DEDYKA > 166.123.82.26: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277018 IP IP-DEDYKA > 23.61.32.37: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277114 IP IP-DEDYKA > 93.154.239.253: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277116 IP IP-DEDYKA > 176.2.19.74: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277125 IP IP-DEDYKA > 196.34.50.67: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277200 IP IP-DEDYKA > 214.178.108.242: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277264 IP IP-DEDYKA > 128.140.211.172: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277329 IP IP-DEDYKA > 46.162.212.163: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277382 IP IP-DEDYKA > 107.115.229.111: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277510 IP IP-DEDYKA > 35.147.244.169: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277574 IP IP-DEDYKA > 103.169.55.5: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277580 IP IP-DEDYKA > 182.186.125.75: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277611 IP IP-DEDYKA > 78.42.169.119: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277614 IP IP-DEDYKA > 187.149.168.249: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277664 IP IP-DEDYKA > 68.7.94.8: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277817 IP IP-DEDYKA > 180.64.13.89: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277821 IP IP-DEDYKA > 156.225.38.214: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277823 IP IP-DEDYKA > 196.227.161.3: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277881 IP IP-DEDYKA > 118.189.190.181: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.277998 IP IP-DEDYKA > 16.145.59.74: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278094 IP IP-DEDYKA > 145.112.0.81: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278144 IP IP-DEDYKA > 48.202.205.50: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278244 IP IP-DEDYKA > 94.142.54.232: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278246 IP IP-DEDYKA > 129.184.119.36: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278255 IP IP-DEDYKA > 128.4.33.217: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278350 IP IP-DEDYKA > 78.84.66.9: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278353 IP IP-DEDYKA > 62.210.244.240: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278403 IP IP-DEDYKA > 7.150.65.45: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278505 IP IP-DEDYKA > 163.214.231.228: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278557 IP IP-DEDYKA > 179.215.194.52: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278631 IP IP-DEDYKA > 34.171.126.146: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278634 IP IP-DEDYKA > 114.114.43.182: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278636 IP IP-DEDYKA > 185.152.229.13: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278776 IP IP-DEDYKA > 140.127.56.80: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278842 IP IP-DEDYKA > 61.107.103.39: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.278891 IP IP-DEDYKA > 221.164.68.221: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279003 IP IP-DEDYKA > 135.174.217.126: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279072 IP IP-DEDYKA > 52.18.164.98: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279142 IP IP-DEDYKA > 220.58.37.19: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279145 IP IP-DEDYKA > 189.27.110.17: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279200 IP IP-DEDYKA > 204.13.244.65: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279351 IP IP-DEDYKA > 109.148.204.180: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279403 IP IP-DEDYKA > 8.16.31.192: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279410 IP IP-DEDYKA > 94.117.63.111: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279434 IP IP-DEDYKA > 192.68.175.133: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279493 IP IP-DEDYKA > 36.16.227.99: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279557 IP IP-DEDYKA > 115.198.203.125: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279622 IP IP-DEDYKA > 76.103.11.245: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279670 IP IP-DEDYKA > 196.123.87.17: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279743 IP IP-DEDYKA > 24.96.8.214: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279821 IP IP-DEDYKA > 91.83.224.100: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279824 IP IP-DEDYKA > 136.143.216.48: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279875 IP IP-DEDYKA > 220.8.118.162: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.279941 IP IP-DEDYKA > 132.167.141.227: ICMP IP-DEDYKA udp port 22 unreachable, length 556
14:12:32.280014 IP IP-DEDYKA > 35.217.38.17: ICMP IP-DEDYKA udp port 22 unreachable, length 556
Z tego co widać atak jest wykonywany na port 22, na szczęście port SSH nie jest domyślny, tylko zmieniony na inny.

Co w takim wypadku mogę zrobić, jeżeli się to powtórzy oraz obecnie? Przecież tutaj nie wiadomo jaki adres DROPować lub zgłaszać abuse/na policję jak to robiłem w przypadku ataków DOS.

Jakieś propozycje? Będę wdzięczny.
Pozdrawiam!