форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Огромное количество непонятного трафика!"
Сообщение от Kirill (??) on 23-Июн-05, 10:20  (MSK)
Всем привет! Сижу уже третий день и тихо ох.., т.е. голову ломаю :) Считаю трафик общий, по внешнему (Инет) интерфейсу, получаем вх.700 исх. 500 (в среднем по месяцу должно быть в день вх.200 исх.30). Считаю полезный трафик, т.е. по логам maillog,squid.log,apache получаю, как должно быть в среднем. И вот вопрос, откуда взялся остальной трафик? Сразу скажу: открытого прокси нет, открытого релея тоже!
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Огромное количество непонятного трафика!"
Сообщение от open on 23-Июн-05, 10:35  (MSK)
ну так запусти tcpdump и голову ломай глядя в него >Всем привет! > >Сижу уже третий день и тихо ох.., т.е. голову ломаю :) >Считаю трафик общий, по внешнему (Инет) интерфейсу, получаем вх.700 исх. 500 (в >среднем по месяцу должно быть в день вх.200 исх.30). Считаю полезный >трафик, т.е. по логам maillog,squid.log,apache получаю, как должно быть в среднем. >И вот вопрос, откуда взялся остальной трафик? Сразу скажу: открытого прокси >нет, открытого релея тоже!
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Огромное количество непонятного трафика!"
Сообщение от Skif (ok) on 23-Июн-05, 12:05  (MSK)
>Всем привет! > >Сижу уже третий день и тихо ох.., т.е. голову ломаю :) >Считаю трафик общий, по внешнему (Инет) интерфейсу, получаем вх.700 исх. 500 (в >среднем по месяцу должно быть в день вх.200 исх.30). Считаю полезный >трафик, т.е. по логам maillog,squid.log,apache получаю, как должно быть в среднем. squid вообще-то считает только полученный траффик. Отосланый не считает. А вообще посмотри всторону ftp для начала. Помню в начале своей карьеры админа забыл грохнуть incoming или поставить права только на чтение и обнаружил полтора гига у себя на ftp-шнике с немецкими фильмами :) >И вот вопрос, откуда взялся остальной трафик? Сразу скажу: открытого прокси >нет, открытого релея тоже! Время от времени, раз такая фигня делай по крону sockstat -4 >> /path/connect_to_server.log Ну и как советовали tcpdump. А еще не плохо поставить человеческую считалку трафика. Например на ng_ipacct. Там можно будет глянуть и по каким портам на какие адреса сколькот и когда.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Огромное количество непонятного трафика!"
	Сообщение от Myc (ok) on 23-Июн-05, 14:47  (MSK)
	>А еще не плохо поставить человеческую считалку трафика. Например на ng_ipacct. Там >можно будет глянуть и по каким портам на какие адреса сколькот >и когда. А если поставить ng_netflow и flow-tools, то потом можно еще всякие репорты делать с сортировкой, фильтрацией и пр. лабудой.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Огромное количество непонятного трафика!"
	Сообщение от Kirill (??) on 23-Июн-05, 17:12  (MSK)
	>>А еще не плохо поставить человеческую считалку трафика. Например на ng_ipacct. Там >>можно будет глянуть и по каким портам на какие адреса сколькот >>и когда. > >А если поставить ng_netflow и flow-tools, то потом можно еще всякие репорты >делать с сортировкой, фильтрацией и пр. лабудой. Тут момент такой, я не зря указал основные сервисы. FTP в принципе закрыт, т.е. ftpd не поднят и порты закрыты. Такое впечатление, что пакет приходит и тут же отсылается назад. Такое было у меня в практике, когда почта релеелась куда угодно. Тут же все закрыто. Пров говорит, что трафик приходит по 80 порту и даже говорит с каких IP, но что толку? Я вижу, что запросов к этому сайту нет! То, что squid отражает только запросы - это и ежу понятно.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Огромное количество непонятного трафика!"
	Сообщение от anton (??) on 23-Июн-05, 17:17  (MSK)
	tcpdump ничего не дал? У меня dos атака такая была несколько лет назат. Били в какой то порт (ничего кроме большого тафика не сделали), единственные логи в которых это присутствовало логи snort.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Огромное количество непонятного трафика!"
	Сообщение от Kirill (??) on 23-Июн-05, 17:45  (MSK)
	>tcpdump ничего не дал? >У меня dos атака такая была несколько лет назат. Били в какой >то порт (ничего кроме большого тафика не сделали), единственные логи в >которых это присутствовало логи snort. И не пытался tcpdump-ом. Ситуация повторяется плавующе, т.е. хрен знает через какой промежность :) А разве при dos атаке трафик зеркальный? Вроде не замечал такого. ДОСили нас, но не было такого. И вот сижу у думаю. Есть мысль, что через sendmail можно такой трафик организовать (типа встать на 25 порт и HELO и вперед), но сидьно сомневаюсь.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Огромное количество непонятного трафика!"
	Сообщение от lavr on 23-Июн-05, 18:40  (MSK)
	>>tcpdump ничего не дал? >>У меня dos атака такая была несколько лет назат. Били в какой >>то порт (ничего кроме большого тафика не сделали), единственные логи в >>которых это присутствовало логи snort. >И не пытался tcpdump-ом. Ситуация повторяется плавующе, т.е. хрен знает через какой >промежность :) >А разве при dos атаке трафик зеркальный? Вроде не замечал такого. ДОСили >нас, но не было такого. И вот сижу у думаю. Есть >мысль, что через sendmail можно такой трафик организовать (типа встать на >25 порт и HELO и вперед), но сидьно сомневаюсь. trafshow/ntop... короче следует повесить сетевой монитор и смотреть сетевую статистику. Первое что приходит в голову - возможно имеют твой dns, те используют его в какчестве nameserver (рекурсивные запросы), вобщем сбор и анализ сетевой статистики должен прояснить.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Огромное количество непонятного трафика!"
	Сообщение от Kirill (??) on 24-Июн-05, 11:00  (MSK)
	>>>tcpdump ничего не дал? >>>У меня dos атака такая была несколько лет назат. Били в какой >>>то порт (ничего кроме большого тафика не сделали), единственные логи в >>>которых это присутствовало логи snort. >>И не пытался tcpdump-ом. Ситуация повторяется плавующе, т.е. хрен знает через какой >>промежность :) >>А разве при dos атаке трафик зеркальный? Вроде не замечал такого. ДОСили >>нас, но не было такого. И вот сижу у думаю. Есть >>мысль, что через sendmail можно такой трафик организовать (типа встать на >>25 порт и HELO и вперед), но сидьно сомневаюсь. > >trafshow/ntop... короче следует повесить сетевой монитор и смотреть >сетевую статистику. > >Первое что приходит в голову - возможно имеют твой dns, те используют >его >в какчестве nameserver (рекурсивные запросы), вобщем сбор и анализ >сетевой статистики должен прояснить. В принципе прояснилось чего-то :) Мою Фришку атаковали FIN пакетами с обратным адресом lib.ru (!) Скорее всего пытались завалить, но не прошло (так им и надо уродам гадским и прочее и прочее). Но одного они добились (сволочи уродские, чтоб им всю жизнь Гейц снился), на деньги поставили конкретно. Кто-нибудь может рассказать подробнее о таких атаках?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Огромное количество непонятного трафика!"
	Сообщение от anton (??) on 24-Июн-05, 11:10  (MSK)
	Snort, mrtg, другие программы мониторинга. При замеченных действиях звонок прову чтоб отрубал атакуемые порты или атакующие хосты. Так же просишь не включать этот трафик в счёт.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Огромное количество непонятного трафика!"
	Сообщение от Junior (ok) on 24-Июн-05, 14:12  (MSK)
	>В принципе прояснилось чего-то :) >Мою Фришку атаковали FIN пакетами с обратным адресом lib.ru (!) Скорее всего >пытались завалить, но не прошло (так им и надо уродам гадским >и прочее и прочее). Но одного они добились (сволочи уродские, чтоб >им всю жизнь Гейц снился), на деньги поставили конкретно. >Кто-нибудь может рассказать подробнее о таких атаках? При флуде или DoS- атаках сделать можно только одно, связаться с провайдером, чтобы он у себя на циске закрыл вредоносный трафик, тогда вы не будете хоть платить за идиотов. Сталкивались, знаем как это. Просто позвонил и по-нормальному договорился с провайдером. Все в шоколаде. Конечно, если трафик неограничен, если канал "толстый", то можно поставить MIRROR на эти соединения :) Тогда эти горе-хакеры будут себя сами ломать и флудить :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Огромное количество непонятного трафика!"
	Сообщение от jou (??) on 24-Июн-05, 14:33  (MSK)
	закрыть от пинга + sysctl.conf: net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 на самом деле там много чего...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Огромное количество непонятного трафика!"
	Сообщение от anton (??) on 24-Июн-05, 14:36  (MSK)
	>закрыть от пинга + >sysctl.conf: >net.inet.tcp.blackhole=2 >net.inet.udp.blackhole=1 > >на самом деле там много чего... И каким образом это сохранит твои деньги?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Огромное количество непонятного трафика!"
	Сообщение от Skif (ok) on 24-Июн-05, 14:39  (MSK)
	>В принципе прояснилось чего-то :) >Мою Фришку атаковали FIN пакетами с обратным адресом lib.ru (!) Скорее всего >пытались завалить, но не прошло (так им и надо уродам гадским >и прочее и прочее). Но одного они добились (сволочи уродские, чтоб >им всю жизнь Гейц снился), на деньги поставили конкретно. >Кто-нибудь может рассказать подробнее о таких атаках? только на уровне прова. Сам ничего не сделаешь. переключаться на UDP протокол и будут флудить до посинения. Защиту от SYN/FIN включи, конечно (хотя думаю и так включена), но нужно на уровне прова работать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.