Forum Debian Users Gang

kaju007 · 2011-09-09 13:17:21

Witam

Ostatni zauważyłem na statystykach ruch nawet 80Mb/s gdzie łącze mam 20MB. Dzwoni do mnie koleś że mu ciężko się strony otwierają zaglądam i widzę że wysyła i ściąga przed dobę parędziesiąt GB. Patrze na iptrafie 192.168.2.6
[url=http://imageshack.us/photo/my-images/545/iptraf.jpg/][img]http://img545.imageshack.us/img545/3598/iptraf.jpg[/img][/url]

Ale najlepsze jest to że gostek jest na interfejsie eth0 a net wychodzi eth5.
Jak mogę to zdiagnozować?
Z tego co zauważyłem to generuje ruch UDP z jednym adresem IP na rożnych portach nie ciągle np 2min leci 8mb potem przerwa 5min i znów.

Ostatnio edytowany przez kaju007 (2011-09-09 13:19:06)

Jacekalex · 2011-09-09 13:34:56

Kontakt z gościem , albo ban na fw, na 90% ten tajemniczy ruch, jest podobny do ostatnich rewelacji z atakami DOS na serwery OVH, gdzie ruch UDP blokował łącza do poszczególnych maszyn.
Edyta:
Ten atak idzie na adres należący do ZEN Network Technologies Ltd z Londynu.
Wynik:

Kod:

whois 194.28.158.170

W dodatku UDP, to protokół bezpołączeniowy, dlatego fragmentowane pakiety UDP to zwykłe śmiecie.
Tak się przeprowadza atak [b][url=http://linux-user.eu/index.php/wiki/bezpieczenstwo/111-typy-atakow]teardrop[/url][/b], ale dzisiaj już chyba nie ma systemu wrażliwego na coś takiego.
Poza zwykłym zapchaniem łącza bezużytecznymi pakietami (atak DOS)

Większość wersji Windows ma opcję zdalnej instalacji oprogramowania poprzez internet explorer. :D
I prawdopodobnie pacjent właśnie takiego BOOTA posiada w kompie, tylko nie wie, jak go dostrzec, bo "sie na tym nie zna".
Poza tym 20MB (20 megabajtów) - to 160Mbit czyli 80Mb (80 megabitów) to połowa łącza.
Inna sprawa, że trochę dziwnie masz kolejki zrobione, jeśli jeden gostek może zapchać pół pasma.

Ostatnio edytowany przez Jacekalex (2013-01-30 02:43:29)

kaju007 · 2011-09-09 15:24:44

No właśnie tak stwierdziłem że ma wirusa bo wchodziłem na ta stronę itp i gościa wywaliłem i spokój.
Co do kolejek to mam zrobione na interf. wychodzącym i dla tego.
Podłączyłem gościa i wkleiłem regułkę

Kod:

iptables -A INPUT -p UDP -f -j DROP

Zobaczymy do jutra.

Ostatnio edytowany przez kaju007 (2011-09-09 15:42:50)

urbinek · 2011-09-09 19:22:22

tutaj juz pisali o tym trochę http://www.trzepak.pl/viewtopic.php?f=16&t=32461&sid=d03c5c19f2f6a85391e8f72ef1f06d38

Jacekalex · 2011-09-10 01:14:16

[quote=kaju007]No właśnie tak stwierdziłem że ma wirusa bo wchodziłem na ta stronę itp i gościa wywaliłem i spokój.
Co do kolejek to mam zrobione na interf. wychodzącym i dla tego.
Podłączyłem gościa i wkleiłem regułkę

Kod:

iptables -A INPUT -p UDP -f -j DROP

Zobaczymy do jutra.[/quote]
A ta ragułka chyba problemu nie załatwi, bo dotyczy pakietów przesyłanych do programów na routerze, ruch z innych kompów korzystających z netu idzie przez łańcuchy raw, nat i forward.
I żeby skutecznie go łapać, trzeba to zrobić w którymś z tych łańcuchów, dodając regułę u góry łańcucha [b]iptables -I[/b] a nie na końcu [b]iptables -A[/b]
czyl coś w stylu, np:

Kod:

iptables -t nat -I PREROUTING -p udp -f -j DROP

albo:

Kod:

iptables -t raw -I PREROUTING -p udp -f -j DROP

lub:

Kod:

iptables -I FORWARD -p udp -f -j DROP

Sznurki:
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://wazniak.mimuw.edu.pl/index.php?title=Bezpiecze%C5%84stwo_system%C3%B3w_komputerowych_-_laboratorium_12:Systemy_programowych_zap%C3%B3r_sieciowych#Diagram_przep.C5.82ywu_pakiet.C3.B3w_przez_zapor.C4.99_sieciow.C4.85_IPTABLES

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2011-09-10 06:00:01)

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00071	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.40.195' WHERE u.id=1
0.00070	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.40.195', 1732560091)
0.00048	SELECT * FROM punbb_online WHERE logged<1732559791
0.00066	DELETE FROM punbb_online WHERE ident='18.118.193.28'
0.00072	DELETE FROM punbb_online WHERE ident='18.191.87.157'
0.00075	DELETE FROM punbb_online WHERE ident='18.223.195.127'
0.00098	DELETE FROM punbb_online WHERE ident='3.145.89.89'
0.00080	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19665 AND t.moved_to IS NULL
0.00010	SELECT search_for, replace_with FROM punbb_censoring
0.00634	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19665 ORDER BY p.id LIMIT 0,25
0.00072	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19665
Total query time: 0.01309 s

Forum Debian Users Gang

Ogłoszenie

#1 2011-09-09 13:17:21

kaju007 - Użytkownik

Dziwny ruch UDP w sieci nawet 8MB/s

#2 2011-09-09 13:34:56

Jacekalex - Podobno człowiek...;)

Re: Dziwny ruch UDP w sieci nawet 8MB/s

Kod:

#3 2011-09-09 15:24:44

kaju007 - Użytkownik

Re: Dziwny ruch UDP w sieci nawet 8MB/s

Kod:

#4 2011-09-09 19:22:22

urbinek - Użytkownik

Re: Dziwny ruch UDP w sieci nawet 8MB/s

#5 2011-09-10 01:14:16

Jacekalex - Podobno człowiek...;)

Re: Dziwny ruch UDP w sieci nawet 8MB/s

Kod:

Kod:

Kod:

Kod:

Stopka forum

Informacje debugowania