флуд пакетов на 6881 с внешнего интерфеса.

white_ghost	# 9 лет, 7 месяцев назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	Арч стоит на шлюзе, раздает интернет с ppp over eth0 в eth1 локалку. Nat только настраиваю, решил поэксперементировать с mtu точнее заменить clamp-mss-to-pmtu на set-mss нужно вычислить значения. Открываю я значит tcpdump на ppp0 а там такой кашмар...... ко мне валится куча пакетов от меня сыпится icmp unreacheble, mss 1000 пакеты приходят минимум от 1300 до 1460 ничего понять не могу. Открываю tcpdump в локалку а там тишь да гладь, вообще ни одного пакета ни в каком направлении. Снова смотрю на внешний интерфейс уже внимательнее, promisc mode выключил, наблюдается следующее: с 1-2 ип адресов прилетает ко мне на tcp на 6881 порт с флагом S и после этого летит гора udp пакетов на 6881 порт с рандомных ипишников, через какое то время флуд стихает и снова прилетает tcp и так до бесконечности. Скажите что это вообще такое?

# 9 лет, 7 месяцев назад

Сообщения: 297

Участник с: 22 января 2013

Арч стоит на шлюзе, раздает интернет с ppp over eth0 в eth1 локалку. Nat только настраиваю, решил поэксперементировать с mtu точнее заменить clamp-mss-to-pmtu на set-mss нужно вычислить значения. Открываю я значит tcpdump на ppp0 а там такой кашмар...... ко мне валится куча пакетов от меня сыпится icmp unreacheble, mss 1000 пакеты приходят минимум от 1300 до 1460 ничего понять не могу. Открываю tcpdump в локалку а там тишь да гладь, вообще ни одного пакета ни в каком направлении. Снова смотрю на внешний интерфейс уже внимательнее, promisc mode выключил, наблюдается следующее: с 1-2 ип адресов прилетает ко мне на tcp на 6881 порт с флагом S и после этого летит гора udp пакетов на 6881 порт с рандомных ипишников, через какое то время флуд стихает и снова прилетает tcp и так до бесконечности. Скажите что это вообще такое?

sleepycat	# 9 лет, 7 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	ниндзя? фаерволом пробовали зарезать? я както давно читал советы мастеров по борьбе с флудом, там они както не просто зарезали фаерволом такие пакеты(определенные пакеты) а просто дропали их до того как те войдут в основной цикл, ихмо гдето на ранней цепочке(вроде про iptables был разговор). Вообще если есть подозрения - это повод пообщаться с провайдером, вполне возможно инфицированные агрераты гдето безобразничают. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 9 лет, 7 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

ниндзя? фаерволом пробовали зарезать? я както давно читал советы мастеров по борьбе с флудом, там они както не просто зарезали фаерволом такие пакеты(определенные пакеты) а просто дропали их до того как те войдут в основной цикл, ихмо гдето на ранней цепочке(вроде про iptables был разговор). Вообще если есть подозрения - это повод пообщаться с провайдером, вполне возможно инфицированные агрераты гдето безобразничают.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

white_ghost	# 9 лет, 7 месяцев назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	фаерволом зарезать пробовал, после такой зарезки в filter в tcpdump эти пакеты должны быть видны? резать в таблице raw нет смысла потому что нет правил нагружающих проц, вопрос в другом, что это такое??? для DoS пакетов маловато и смысла еще меньше ip динамически.

white_ghost

# 9 лет, 7 месяцев назад

Темы: 13

Сообщения: 297

Участник с: 22 января 2013

фаерволом зарезать пробовал, после такой зарезки в filter в tcpdump эти пакеты должны быть видны? резать в таблице raw нет смысла потому что нет правил нагружающих проц, вопрос в другом, что это такое??? для DoS пакетов маловато и смысла еще меньше ip динамически.

Natrio	# 9 лет, 7 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Если айпи динамический, то скорей всего на нём недавно был какой-то ваш "сосед" по провайдеру, который участвует в торрентах. После ротации IP провайдером на этот адрес по привычке продолжают стучаться торрент-клиенты из сети, до которых ещё не дошли данные о смене IP вашего "соседа". Порт 6881 вполне соответствует :)

Natrio

# 9 лет, 7 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Если айпи динамический, то скорей всего на нём недавно был какой-то ваш "сосед" по провайдеру, который участвует в торрентах. После ротации IP провайдером на этот адрес по привычке продолжают стучаться торрент-клиенты из сети, до которых ещё не дошли данные о смене IP вашего "соседа".
Порт 6881 вполне соответствует :)

white_ghost	# 9 лет, 7 месяцев назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	Видишь в чем дело после гугления я тоже так подумал, НО 1. раньше я такого не видел, 2. я уже пол дня сижу на одном ип торент не включал не в локалке не на серваке а пакеты все сыпятся и сыпятся. 3. как можно посмотреть открыт этот порт или нет и какой сервис его слушает?

white_ghost

# 9 лет, 7 месяцев назад

Темы: 13

Сообщения: 297

Участник с: 22 января 2013

Видишь в чем дело после гугления я тоже так подумал, НО 1. раньше я такого не видел, 2. я уже пол дня сижу на одном ип торент не включал не в локалке не на серваке а пакеты все сыпятся и сыпятся. 3. как можно посмотреть открыт этот порт или нет и какой сервис его слушает?

sleepycat	# 9 лет, 7 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	netstat , ss, lsof Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 9 лет, 7 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

netstat , ss, lsof

Natrio	# 9 лет, 7 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	ss -ln показывает локальные открытые порты (прослушиваемые).

sleepycat	# 9 лет, 7 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	lsof -Pni покажет пид процесса. ( можно и по другому, но я привык к lsof, поэтому что наизузть помню - то и выдаю.) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 9 лет, 7 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

lsof -Pni

покажет пид процесса. ( можно и по другому, но я привык к lsof, поэтому что наизузть помню - то и выдаю.)

white_ghost	# 9 лет, 7 месяцев назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	Natrio ss -ln показывает локальные открытые порты (прослушиваемые). совсем ничего не показывает

Natrio	# 9 лет, 7 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	white_ghost Natrio ss -ln показывает локальные открытые порты (прослушиваемые). совсем ничего не показывает Значит нет открытых портов :)