Forum Debian Users Gang

kaju007 · 2011-09-09 13:17:21

Witam

Ostatni zauważyłem na statystykach ruch nawet 80Mb/s gdzie łącze mam 20MB. Dzwoni do mnie koleś że mu ciężko się strony otwierają zaglądam i widzę że wysyła i ściąga przed dobę parędziesiąt GB. Patrze na iptrafie 192.168.2.6

Ale najlepsze jest to że gostek jest na interfejsie eth0 a net wychodzi eth5.
Jak mogę to zdiagnozować?
Z tego co zauważyłem to generuje ruch UDP z jednym adresem IP na rożnych portach nie ciągle np 2min leci 8mb potem przerwa 5min i znów.

Ostatnio edytowany przez kaju007 (2011-09-09 13:19:06)

Jacekalex · 2011-09-09 13:34:56

Kontakt z gościem , albo ban na fw, na 90% ten tajemniczy ruch, jest podobny do ostatnich rewelacji z atakami DOS na serwery OVH, gdzie ruch UDP blokował łącza do poszczególnych maszyn.
Edyta:
Ten atak idzie na adres należący do ZEN Network Technologies Ltd z Londynu.
Wynik:

Kod:

whois 194.28.158.170

W dodatku UDP, to protokół bezpołączeniowy, dlatego fragmentowane pakiety UDP to zwykłe śmiecie.
Tak się przeprowadza atak teardrop, ale dzisiaj już chyba nie ma systemu wrażliwego na coś takiego.
Poza zwykłym zapchaniem łącza bezużytecznymi pakietami (atak DOS)

Większość wersji Windows ma opcję zdalnej instalacji oprogramowania poprzez internet explorer. :D
I prawdopodobnie pacjent właśnie takiego BOOTA posiada w kompie, tylko nie wie, jak go dostrzec, bo "sie na tym nie zna".
Poza tym 20MB (20 megabajtów) - to 160Mbit czyli 80Mb (80 megabitów) to połowa łącza.
Inna sprawa, że trochę dziwnie masz kolejki zrobione, jeśli jeden gostek może zapchać pół pasma.

Ostatnio edytowany przez Jacekalex (2013-01-30 02:43:29)

kaju007 · 2011-09-09 15:24:44

No właśnie tak stwierdziłem że ma wirusa bo wchodziłem na ta stronę itp i gościa wywaliłem i spokój.
Co do kolejek to mam zrobione na interf. wychodzącym i dla tego.
Podłączyłem gościa i wkleiłem regułkę

Kod:

iptables -A INPUT -p UDP -f -j DROP

Zobaczymy do jutra.

Ostatnio edytowany przez kaju007 (2011-09-09 15:42:50)

urbinek · 2011-09-09 19:22:22

tutaj juz pisali o tym trochę http://www.trzepak.pl/viewtopic.php?f=16&t=3246 … 8f72ef1f06d38

Jacekalex · 2011-09-10 01:14:16

kaju007 napisał(-a):
No właśnie tak stwierdziłem że ma wirusa bo wchodziłem na ta stronę itp i gościa wywaliłem i spokój.
Co do kolejek to mam zrobione na interf. wychodzącym i dla tego.
Podłączyłem gościa i wkleiłem regułkę
Kod:
iptables -A INPUT -p UDP -f -j DROP
Zobaczymy do jutra.

A ta ragułka chyba problemu nie załatwi, bo dotyczy pakietów przesyłanych do programów na routerze, ruch z innych kompów korzystających z netu idzie przez łańcuchy raw, nat i forward.
I żeby skutecznie go łapać, trzeba to zrobić w którymś z tych łańcuchów, dodając regułę u góry łańcucha iptables -I a nie na końcu iptables -A
czyl coś w stylu, np:

Kod:

iptables -t nat -I PREROUTING -p udp -f -j DROP

albo:

Kod:

iptables -t raw -I PREROUTING -p udp -f -j DROP

lub:

Kod:

iptables -I FORWARD -p udp -f -j DROP

Sznurki:
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://wazniak.mimuw.edu.pl/index.php?title=Bezpiec … 4.85_IPTABLES

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2011-09-10 06:00:01)

Forum Debian Users Gang

Ogłoszenie

#1 2011-09-09 13:17:21

kaju007 - Użytkownik

Dziwny ruch UDP w sieci nawet 8MB/s

#2 2011-09-09 13:34:56

Jacekalex - Podobno człowiek...;)

Re: Dziwny ruch UDP w sieci nawet 8MB/s

Kod:

#3 2011-09-09 15:24:44

kaju007 - Użytkownik

Re: Dziwny ruch UDP w sieci nawet 8MB/s

Kod:

#4 2011-09-09 19:22:22

urbinek - Dzban Naczelny

Re: Dziwny ruch UDP w sieci nawet 8MB/s

#5 2011-09-10 01:14:16

Jacekalex - Podobno człowiek...;)

Re: Dziwny ruch UDP w sieci nawet 8MB/s

kaju007 napisał(-a):

Kod:

Kod:

Kod:

Kod:

Stopka forum