Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Ostatni zauważyłem na statystykach ruch nawet 80Mb/s gdzie łącze mam 20MB. Dzwoni do mnie koleś że mu ciężko się strony otwierają zaglądam i widzę że wysyła i ściąga przed dobę parędziesiąt GB. Patrze na iptrafie 192.168.2.6
[url=http://imageshack.us/photo/my-images/545/iptraf.jpg/][img]http://img545.imageshack.us/img545/3598/iptraf.jpg[/img][/url]
Ale najlepsze jest to że gostek jest na interfejsie eth0 a net wychodzi eth5.
Jak mogę to zdiagnozować?
Z tego co zauważyłem to generuje ruch UDP z jednym adresem IP na rożnych portach nie ciągle np 2min leci 8mb potem przerwa 5min i znów.
Ostatnio edytowany przez kaju007 (2011-09-09 13:19:06)
Offline
Kontakt z gościem , albo ban na fw, na 90% ten tajemniczy ruch, jest podobny do ostatnich rewelacji z atakami DOS na serwery OVH, gdzie ruch UDP blokował łącza do poszczególnych maszyn.
Edyta:
Ten atak idzie na adres należący do ZEN Network Technologies Ltd z Londynu.
Wynik:
whois 194.28.158.170
W dodatku UDP, to protokół bezpołączeniowy, dlatego fragmentowane pakiety UDP to zwykłe śmiecie.
Tak się przeprowadza atak [b][url=http://linux-user.eu/index.php/wiki/bezpieczenstwo/111-typy-atakow]teardrop[/url][/b], ale dzisiaj już chyba nie ma systemu wrażliwego na coś takiego.
Poza zwykłym zapchaniem łącza bezużytecznymi pakietami (atak DOS)
Większość wersji Windows ma opcję zdalnej instalacji oprogramowania poprzez internet explorer. :D
I prawdopodobnie pacjent właśnie takiego BOOTA posiada w kompie, tylko nie wie, jak go dostrzec, bo "sie na tym nie zna".
Poza tym 20MB (20 megabajtów) - to 160Mbit czyli 80Mb (80 megabitów) to połowa łącza.
Inna sprawa, że trochę dziwnie masz kolejki zrobione, jeśli jeden gostek może zapchać pół pasma.
Ostatnio edytowany przez Jacekalex (2013-01-30 02:43:29)
Offline
No właśnie tak stwierdziłem że ma wirusa bo wchodziłem na ta stronę itp i gościa wywaliłem i spokój.
Co do kolejek to mam zrobione na interf. wychodzącym i dla tego.
Podłączyłem gościa i wkleiłem regułkę
iptables -A INPUT -p UDP -f -j DROP
Zobaczymy do jutra.
Ostatnio edytowany przez kaju007 (2011-09-09 15:42:50)
Offline
tutaj juz pisali o tym trochę http://www.trzepak.pl/viewtopic.php?f=16&t=32461&sid=d03c5c19f2f6a85391e8f72ef1f06d38
Offline
[quote=kaju007]No właśnie tak stwierdziłem że ma wirusa bo wchodziłem na ta stronę itp i gościa wywaliłem i spokój.
Co do kolejek to mam zrobione na interf. wychodzącym i dla tego.
Podłączyłem gościa i wkleiłem regułkę
iptables -A INPUT -p UDP -f -j DROP
Zobaczymy do jutra.[/quote]
A ta ragułka chyba problemu nie załatwi, bo dotyczy pakietów przesyłanych do programów na routerze, ruch z innych kompów korzystających z netu idzie przez łańcuchy raw, nat i forward.
I żeby skutecznie go łapać, trzeba to zrobić w którymś z tych łańcuchów, dodając regułę u góry łańcucha [b]iptables -I[/b] a nie na końcu [b]iptables -A[/b]
czyl coś w stylu, np:
iptables -t nat -I PREROUTING -p udp -f -j DROP
albo:
iptables -t raw -I PREROUTING -p udp -f -j DROP
lub:
iptables -I FORWARD -p udp -f -j DROP
Sznurki:
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://wazniak.mimuw.edu.pl/index.php?title=Bezpiecze%C5%84stwo_system%C3%B3w_komputerowych_-_laboratorium_12:Systemy_programowych_zap%C3%B3r_sieciowych#Diagram_przep.C5.82ywu_pakiet.C3.B3w_przez_zapor.C4.99_sieciow.C4.85_IPTABLES
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2011-09-10 06:00:01)
Offline
Time (s) | Query |
---|---|
0.00014 | SET CHARSET latin2 |
0.00003 | SET NAMES latin2 |
0.00105 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.6.176' WHERE u.id=1 |
0.00062 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.147.6.176', 1732871473) |
0.00045 | SELECT * FROM punbb_online WHERE logged<1732871173 |
0.00060 | DELETE FROM punbb_online WHERE ident='18.227.114.218' |
0.00061 | SELECT topic_id FROM punbb_posts WHERE id=180913 |
0.00136 | SELECT id FROM punbb_posts WHERE topic_id=19665 ORDER BY posted |
0.00076 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19665 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00079 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19665 ORDER BY p.id LIMIT 0,25 |
0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19665 |
Total query time: 0.0073 s |