Bloqueo de una inundación SSDP

He estado alojando serveres de juegos desde hace mucho time y sigo actualizando mi firewall iptables una y otra vez para bloquear la mayoría de los ataques. Uno de mis puertos de server de juegos está siendo inundado de peticiones "SSDP" y mi server de juegos responde a eso con un package de "desconnection".

Aquí está cómo se establece el flujo que viene del puerto 1900 de la fuente mientras que el destino es mi puerto del juego-server,

http://paste.ubuntu.com/8099734/

Tengo la siguiente configuration de iptables que debería haber estado bloqueando los packages de "desconnection" salientes, pero ya no funciona y no tengo ni idea de por qué.

http://paste.ubuntu.com/8099779/

He bloqueado temporalmente la input de UDP fuente-puerto 1900, pero que no es una solución lo suficientemente buena como mi server de juegos es vulnerable a muchos otros packages de manera que el package de salida "desconectar" es algo que tiene que ser bloqueado.

No estoy seguro de si -m partido de multiport puede ser necesario para bloquear esto?

Me doy count de que lo que estás recibiendo parece un package de respuesta, no una request.

Por lo tanto, lo más probable es que este es un tipo de ataque de amplificación, donde envían una pequeña request a los dispositivos habilitados para SSDP en la networking, pero con su IP spoofed como originador. Así que cuando todos estos dispositivos envían su respuesta, usted los consigue.

Como un efecto secundario añadido, su service no tiene idea de lo que están hablando y no tienen más remedio que "desconectar" (lo que el server de juegos aparentemente hace enviando el text desconectar).

No entiendo porqué usted está apuntando su respuesta a esto. Id intentar ir para el package entrante en su lugar, con algo como:

iptables -I INPUT -p udp –dport 16000: 29000 -m cadena –a 75 –algo bm –string 'HTTP / 1.1 200 OK' -j DROP