URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 33019
[ Назад ]

Исходное сообщение
"Большой исходящий трафик! Чтобы это значило???"
Отправлено Gray , 02-Авг-03 23:47

С одной из виндовых машин периодически по разным портам прет большой исходящий трафик в разные края света. Может кто знает что это может быть?
Машина свиду выглядит так:
Interesting ports on  (13.12.14.65):
(The 1583 ports scanned but not shown below are in state: closed)
Port       State       Service
7/tcp      open        echo
9/tcp      open        discard
13/tcp     open        daytime
17/tcp     open        qotd
19/tcp     open        chargen
25/tcp     open        smtp
53/tcp     open        domain
110/tcp    open        pop-3
135/tcp    open        loc-srv
137/tcp    filtered    netbios-ns
138/tcp    filtered    netbios-dgm
139/tcp    filtered    netbios-ssn
443/tcp    open        https
995/tcp    open        pop3s
1723/tcp   open        pptp
3128/tcp   open        squid-http
3372/tcp   open        msdtc
3389/tcp   open        ms-term-serv
Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP
Сам трафик поглядеть к сожалению нечем, т.к. вопервых далеко, вовторых комп сидит не через сервак, а на одном из интерфейсов циски. Посему можно наблюдать примерно такую картину:
Fa0/0    13.12.14.65     Se0/0:0    202.89.169.62   06 1311 0951  8907
Fa0/0    13.12.14.65     Se0/0:0    63.196.35.173   06 131F 0492    31K
Fa0/0    13.12.14.65     Se0/0:0    200.223.48.219  06 12F9 0D80    16K
Fa0/0    13.12.14.65     Se0/0:0    193.111.117.128 06 12E2 0EEB  2631
Fa0/0    13.12.14.65     Se0/0:0    194.109.129.220 06 FB56 1A0B    37
Адреса назначения данного трафика все время меняются, чего там только не было уже... но часто это бывают адреса из dsl'ных пулов различных провайдеров.
КТО НИБУДЬ ТАКОЕ ВИДЕЛ? ЧТО ЭТО?

Содержание

Большой исходящий трафик! Чтобы это значило???,Gray, 23:52 , 02-Авг-03
проверь на вирусы!,Camb, 00:42 , 03-Авг-03
Большой исходящий трафик! Чтобы это значило???,A Clockwork Orange, 18:00 , 03-Авг-03
- Большой исходящий трафик! Чтобы это значило???,akeeper, 23:25 , 03-Авг-03
Большой исходящий трафик! Чтобы это значило???,alx, 07:52 , 04-Авг-03
- Большой исходящий трафик! Чтобы это значило???,Gray, 09:55 , 04-Авг-03
  - Большой исходящий трафик! Чтобы это значило???,zxc, 10:15 , 04-Авг-03
  - Большой исходящий трафик! Чтобы это значило???,lavr, 10:30 , 04-Авг-03
    - Большой исходящий трафик! Чтобы это значило???,Gray, 20:07 , 04-Авг-03
      - Большой исходящий трафик! Чтобы это значило???,lavr, 10:42 , 05-Авг-03

Сообщения в этом обсуждении

"Большой исходящий трафик! Чтобы это значило???"
Отправлено Gray , 02-Авг-03 23:52

з.ы. Если смотреть по мртг-шному графику то среднесуточный получается в районе 62 Кбайт в секунду, а в пиках доходит и до 180 Кбайт в секунду:
Макс. Исх: 181.8 kB/s (75.1%) Средний Исх: 63.3 kB/s (26.1%) Текущий Исх: 98.1 kB/s (40.5%)

"проверь на вирусы!"
Отправлено Camb , 03-Авг-03 00:42

у меня такое уже было. правда там трафик генерился случано (по времени) да так что весь канал загружался..

"Большой исходящий трафик! Чтобы это значило???"
Отправлено A Clockwork Orange , 03-Авг-03 18:00

Вирус как?

"Большой исходящий трафик! Чтобы это значило???"
Отправлено akeeper , 03-Авг-03 23:25

>Вирус как?
А можно мне глупый вопрос? А нахрена столько сервисов висит на этой машине, при том, что большинство из них скорее всего даже и не нужны. Поотрывай для начала лишние сервисы, а потом смотри по каким портам трафик будет идти. (На самой машине придётся смотреть.)
wbr, akeeper.

"Большой исходящий трафик! Чтобы это значило???"
Отправлено alx , 04-Авг-03 07:52

правительство США отсылает всякие данные о пользователе через инет с помощью ВинМЕ и дяди Билла -)) код то закрытый, кто знает что там за трафик-)

"Большой исходящий трафик! Чтобы это значило???"
Отправлено Gray , 04-Авг-03 09:55

Машиной я не рулю. И как я уже говорил, далеко она - километрах эдак в 300-х от меня стоит. Нахрена там столько сервисов - не знаю. На вирус имхо непохоже, т.к. там обычно все более тривиально - либо скан сплошной по определенным портам и случайным адресам, либо вообще трафиком в локальном сегменте ограничивается. Тут же получается большой поток трафика (десятки тысяч пакетов) в конкретный момент времени на один(как правило) или единицы реальных адресов. В другой момент времени на другой адрес... В сторону мелкософта пока трафика не видел, хотя из того что я наблюдал - было пару раз в штаты, несколько раз в канаду, еще видел в австралию и бразилию...
Вот например сейчас:
Fa0/0  13.12.14.65  Se0/0:0   12.233.205.102  06 136A 0E6D    51K
(Пятдесят одна тысяча пакетов с порта 0x136A на порт 0x0E6D
Пункт назначения - штаты.
OrgName:    AT&T WorldNet Services
OrgID:      ATTW
Address:    400 Interpace Parkway
City:       Parsippany
StateProv:  NJ
PostalCode: 07054
Country:    US
NetRange:   12.0.0.0 - 12.255.255.255
CIDR:       12.0.0.0/8
NetName:    ATT
NetHandle:  NET-12-0-0-0-1
Судя по DNS это смахивает опять таки на какой-то пул - возможно xDSL, возможно еще что-то...
12-233-205-102.client.attbi.com

"Большой исходящий трафик! Чтобы это значило???"
Отправлено zxc , 04-Авг-03 10:15

Я если просто все порты запретить, кроме нужных
Или запретить sin пакеты, чтобы посмотреть кто соединение инициирует, локальный или удаленный

"Большой исходящий трафик! Чтобы это значило???"
Отправлено lavr , 04-Авг-03 10:30

>Машиной я не рулю. И как я уже говорил, далеко она -
>километрах эдак в 300-х от меня стоит. Нахрена там столько сервисов
>- не знаю. На вирус имхо непохоже, т.к. там обычно все
>более тривиально - либо скан сплошной по определенным портам и случайным
>адресам, либо вообще трафиком в локальном сегменте ограничивается. Тут же получается
>большой поток трафика (десятки тысяч пакетов) в конкретный момент времени на
>один(как правило) или единицы реальных адресов. В другой момент времени на
>другой адрес... В сторону мелкософта пока трафика не видел, хотя из
>того что я наблюдал - было пару раз в штаты, несколько
>раз в канаду, еще видел в австралию и бразилию...
>Вот например сейчас:
>
>Fa0/0  13.12.14.65  Se0/0:0   12.233.205.102  06 136A 0E6D
>   51K
>(Пятдесят одна тысяча пакетов с порта 0x136A на порт 0x0E6D
>Пункт назначения - штаты.
>OrgName:    AT&T WorldNet Services
>OrgID:      ATTW
>Address:    400 Interpace Parkway
>City:       Parsippany
>StateProv:  NJ
>PostalCode: 07054
>Country:    US
>
>NetRange:   12.0.0.0 - 12.255.255.255
>CIDR:       12.0.0.0/8
>NetName:    ATT
>NetHandle:  NET-12-0-0-0-1
>
>Судя по DNS это смахивает опять таки на какой-то пул - возможно
>xDSL, возможно еще что-то...
>12-233-205-102.client.attbi.com
worm, backdoor и тд и тп, скорее всего дрянькакую-то подсадили, после чего
начали атаковать (или еще что) другие сетки

"Большой исходящий трафик! Чтобы это значило???"
Отправлено Gray , 04-Авг-03 20:07

Запрещать пока ничего низзя..

>worm, backdoor и тд и тп, скорее всего дрянькакую-то подсадили, после чего
>начали атаковать (или еще что) другие сетки
Или еще что это что?
Насчет атак - интересно конечно, но если помыслить чуток логически:
Если это червь или бэкдор - то значит он общается с компом в кротором живет такой же... Тогда что и нафига он передает ему в ТАКОМ количестве? Если на другом компе нет такого-же, тогда он должен искать возможность посадить туда себя. Если он исполльзует дыру в безопасности какого либо сервиса, то он и должен ломать тот самый сервис (здесь же порт выбирается фиг знает как...). И потом - впринципе, чтобы найти уязвимый комп - он должен сканировать инет с офигительным упорством... чего в данный момент не наблюдается. То что отображено в первой мессаге, это ВСЯ информация выводимая по show ip cache flow | i Fa0/0 и исходящая с Fa0/0 на S0/0:0 (т.е. в сторону инета). Т.е. всего пять tcp сессий, одна из которых практически незначительна, а вот все остальные представляют определенный интерес... Если бы был скан, то сессий было бы сотни или тысячи... на 2Мбит/с канале то...

"Большой исходящий трафик! Чтобы это значило???"
Отправлено lavr , 05-Авг-03 10:42

>Запрещать пока ничего низзя..
>
>
>>worm, backdoor и тд и тп, скорее всего дрянькакую-то подсадили, после чего
>>начали атаковать (или еще что) другие сетки
>
>Или еще что это что?
>
>Насчет атак - интересно конечно, но если помыслить чуток логически:
>Если это червь или бэкдор - то значит он общается с компом
>в кротором живет такой же... Тогда что и нафига он передает
>ему в ТАКОМ количестве? Если на другом компе нет такого-же, тогда
>он должен искать возможность посадить туда себя. Если он исполльзует дыру
>в безопасности какого либо сервиса, то он и должен ломать тот
>самый сервис (здесь же порт выбирается фиг знает как...). И потом
>- впринципе, чтобы найти уязвимый комп - он должен сканировать инет
>с офигительным упорством... чего в данный момент не наблюдается. То что
>отображено в первой мессаге, это ВСЯ информация выводимая по show ip
>cache flow | i Fa0/0 и исходящая с Fa0/0 на S0/0:0
>(т.е. в сторону инета). Т.е. всего пять tcp сессий, одна из
>которых практически незначительна, а вот все остальные представляют определенный интерес... Если
>бы был скан, то сессий было бы сотни или тысячи... на
>2Мбит/с канале то...
извини, я несколько лет подряд расхлебывал в институте подобные вещи,
сейчас неинтересно да и надоело - подпишись на несколько секурити листов
и будешь всегда в курсе, воспользуйся известными средствами, ссылки
(хоть и старые) для старта можешь найти:
http://unix1.jinr.ru/~lavr/secure-bulleten.html