FreeBSD 4.7
Вот уже шестой час прет у меня с сервера исходящий траффик
trafshow на внешнем интерфейсе показывает такую картину:
80.69.65.129..12107 255.255.255.255..51031 udp 55 11
80.69.65.129..11537 255.255.255.255..42153 udp 55 11
80.69.65.129..35390 255.255.255.255..42629 udp 55 11
80.69.65.129..47935 255.255.255.255..50656 udp 55 11
80.69.65.129..46535 255.255.255.255..7896 udp 55 11
80.69.65.129..31588 255.255.255.255..5400 udp 55 11
80.69.65.129..60841 255.255.255.255..48156 udp 55 11
80.69.65.129..25459 255.255.255.255..60393 udp 55 11
80.69.65.129..62055 255.255.255.255..32295 udp 55 11
и так 12 страниц
на внутренних интерфейсах все спокойно. Правила ipfw вида:
/sbin/ipfw add 9 deny udp from 80.69.65.129 to me
/sbin/ipfw add 9 deny udp from me to 80.69.65.129
результатов не приносят. Счетчики остаются нулевыми.
tcpdump показывает следующее:
19:16:33.334245 80.69.65.129 > 255.255.255.255: icmp: echo request
19:16:33.338645 80.69.65.129.24680 > 255.255.255.255.55321: udp 27
19:16:33.382318 80.69.65.129 > 255.255.255.255: icmp: echo request
19:16:33.386148 80.69.65.129.10124 > 255.255.255.255.54535: udp 27
19:16:33.438251 80.69.65.129 > 255.255.255.255: icmp: echo request
19:16:33.442648 80.69.65.129.41698 > 255.255.255.255.13946: udp 27
19:16:33.480246 80.69.65.129 > 255.255.255.255: icmp: echo requestНа что грешить?
Куда бросатся в первую очередь??
Звони провайдеру, пусть блокирует указанный хост.
Выходные, вряд ли кто ответит. Потдержка не круглосуточная.
Но прежде чем звонить задал себе следующие вопросы
1. Почему мой фаервол не блокирует эти пакеты на входящем интерфейсе
2. пакеты идут на адрес 255.255.255.255, но подобный адрес не должен бы выходить в инет, осюда склоняюсь к выводу что что то неладное внутри моей сети. Но на внутренних интерфейсах все чисто
3. Блокировка одного адреса не мера, найдутся другие.
Важно понять что это. Вирус внутри сети? Атака на какую то службу?Провайдеры они то не особо любят когда их пихают почем зря :-)