UDP:4500 へ大量に通信がある件

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
TakIchikawa
Posts: 9
Joined: Tue Feb 12, 2019 2:28 am

UDP:4500 へ大量に通信がある件

Post by TakIchikawa » Thu Sep 16, 2021 7:21 am

こんにちわ
ちょっと筋違いかもしれませんが、ご意見いただけませんでしょうか。

 
SoftEtherで L2TPサーバー機能を有効にして使用していますが、
UDP:4500 へ無駄な通信をやたら受けていているのが気になって調べています。

(SoftEther VPN 4.38 Build 9760 RTM (2021/08/17) が提供されていて、
このような攻撃をサーバー側として緩和することは存じています)

 
私の環境では 現時点ではどうも大半が
 送信元の Port 27015 ⇒ VPNサーバの Port 4500
という通信になっていることに気が付きました。

自分は L2TP/IPsec のプロトコルをよくわかっていませんが、
パケットのキャプチャを取ってみたところ、その後 サーバー側から
 VPNサーバの Port 4500 ⇒ 送信元の Port 27015
というパケットを2個?(2種類)返している(新規で送っている?)ように見えます。

この動作は、詐称の送信元の IP/ポート(UDP 27015) に対して
2倍(?)のパケットを送り返させることが目的で、
そのことで暗黙に DDoS攻撃に参加させられているということにならないでしょうか?
(UDP 27015は steam関係ではないかと思われます)

 
自分の環境は Linuxだったので、INPUTから止めるため
 iptables -A INPUT -p udp --sport 27015 --dport 4500 -j DROP
としてみたく思っていますが、このやり方だと何か支障が出たりしますでしょうか?
・正規の VPNユーザーがわずかな確率で接続できないことになるかもしれない
・UDP:27015 以外を見つけたらまた別途追加で DROP設定が必要

 
他にも同様に懸念を感じた方がいらっしゃれば、ご意見いただけませんでしょうか。
よろしくお願いします。

Post Reply