[GTER] Worm do SQL/1434-udp

[Juliano Souza]

Olá pensantes amigos do GTER !!

Tenho uma bridge rodando em um LINUX-2.6, tenho cerca de 1000 clientes com ip's válidos e fixos passando simultânetamente
em minha br0 (bridge) e junto com o htb (tc,iptables... etc), digo quem navega com suas respectivas velocidades.

Mas algo que acontece ultimamente na minha rede é o fato de que esses novos vírus/worms (nem tão novos) que os clientes pegam sem a mínima preocupação,  que pacotam as redes e tentam fazer Dos ou algo do gênero literalmente "derrubam" minha rede.

O processamento do QOS sobe para 90 porcento e com esses problemas a unica coisa que posso fazer é fazer um filtro no tcpdump e pelo olhômetro, 
identificar o causador do problema, queria saber de vcs, mas isso não acontece só comigo né?

Segue exemplo de um cliente infectado pelo worm de SQL.

[root at qos-23 root]# iptables -nvL FORWARD

Chain FORWARD (policy ACCEPT 4776K packets, 1421M bytes)
 pkts bytes target     prot opt in     out     source               destination

  14M 5511M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
        MAC xx:xx:xx:7C:D9:A6

5 Gb em 10 minutos, algo assustador não?!

Sei que não há muito que se fazer pois na verdade, essa minha rede é na verdade uma grande LAN com ip's fixos espalhados.

Mas qual é a opinião de vocês?
Trabalho em um provedor de Alphaville/Barueri e região, e estamos sofrendo constantemente com tais paradas, e não posso confiar na manutenção do cliente com seu próprio equipamento. Se alguém conhece alguma solução mesmo que radical e gostaria de apresentar ou algo do gênero, estou á disposição.

Atenciosamente,

Juliano Souza