forum.opennet.ru - "Помогите разобраться со странной активностью" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите разобраться со странной активностью"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите разобраться со странной активностью"
Сообщение от j4m0 on 12-Май-06, 02:25
Запускаю trafshow на внешнем интерфейсе: # trafshow -i rl1 И вижу среди прочего следующее: From Address To Address Proto Bytes CPS ========================================================================================== 192.168.3.3..2938 192.168.1.99..netbios-ss tcp 40 8 192.168.3.3..2936 192.168.1.99..netbios-ss tcp 40 8 192.168.3.3..2935 192.168.1.99..microsoft- tcp 40 8 192.168.3.3..2937 192.168.1.99..microsoft- tcp 40 8 217.251.x.216..router 255.255.255.255..router udp 52 На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса - rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255 Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде бы не бродкасты, а каким образом сетевуха их ловит??? И причем на них набегает ощутимый трафик. Можно как-нибудь объяснить это?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Помогите разобраться со странной активностью, Голышев Михаил, 13:47 , 12-Май-06, (1)

Помогите разобраться со странной активностью, j4m0, 16:43 , 12-Май-06, (2)

Помогите разобраться со странной активностью, Голышев Михаил, 20:21 , 12-Май-06, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Помогите разобраться со странной активностью"

Сообщение от Голышев Михаил on 12-Май-06, 13:47

>Запускаю trafshow на внешнем интерфейсе:
># trafshow -i rl1
>
>И вижу среди прочего следующее:
>
>From Address
>   To Address
>
>
> Proto
>Bytes CPS
>==========================================================================================
>192.168.3.3..2938         192.168.1.99..netbios-ss
>
>  tcp
>      40 8
>192.168.3.3..2936         192.168.1.99..netbios-ss
>
>  tcp
>      40 8
>192.168.3.3..2935         192.168.1.99..microsoft-
>
>  tcp
>      40 8
>192.168.3.3..2937         192.168.1.99..microsoft-
>
>  tcp
>      40 8
>217.251.x.216..router     255.255.255.255..router
>          udp
>
>   52
>
>На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса -
>rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
>rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255
>
>Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде
>бы не бродкасты, а каким образом сетевуха их ловит??? И причем
>на них набегает ощутимый трафик. Можно как-нибудь объяснить это?
Скорее всего у Вас старый/битый trafshow (version?).
Скачайте новый из портов и посмотрите результат.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Помогите разобраться со странной активностью"

Сообщение от j4m0 on 12-Май-06, 16:43

Стояла версия 3.1 (та что из портов). Нашел на сайте автора последнюю версию (5.2.3). Ситуация немного изменилась, но все равно вижу такие записи:
Source                         Destination                                   Protocol           Size               CPS
------------------------------------------------------------------------------------------
00:09:7c:73:dd:4c           01:80:c2:00:00:00                             stp                5940               19
00:05:00:94:c0:38           broadcast                                     arp                360                35
217.x.x.195,netbios-dg      217.x.x.255,netbios-dg                        udp                237
00:0f:3d:1a:65:38           broadcast                                     arp                120                8
217.x.x.247,49927           ns.extel.ru,domain                            udp                73
217.x.x.216,router          255.255.255.255,router                        udp                52
217.151.70.82,2861          217.x.x.209,microsoft-                        tcp                48
192.168.3.3,4814            192.168.1.99,netbios-ss                       tcp                40
192.168.3.3,4813            192.168.1.99,microsoft-                       tcp                40

Особенно непонятно вот что: на днях провайдер выставил счет за очень большое превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто сталкивался с таким. Может ли быть такая утечка трафика на бродкаст адрес и как это в принципе возможно???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Помогите разобраться со странной активностью"

Сообщение от Голышев Михаил on 12-Май-06, 20:21

>Особенно непонятно вот что: на днях провайдер выставил счет за очень большое
>превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но
>на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто
>сталкивался с таким. Может ли быть такая утечка трафика на бродкаст
>адрес и как это в принципе возможно???
Запретите входящие броадкаст пакеты на внешний адрес.
Запретите входящие пакеты на внешний адрес с адресом получателя != 217.x.x.247
Запретите исходящие пакеты с внешнего адреса с адресом отправителя != 217.x.x.247

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите разобраться со странной активностью"
Сообщение от Голышев Михаил on 12-Май-06, 13:47
>Запускаю trafshow на внешнем интерфейсе: ># trafshow -i rl1 > >И вижу среди прочего следующее: > >From Address > To Address > > > Proto >Bytes CPS >========================================================================================== >192.168.3.3..2938 192.168.1.99..netbios-ss > > tcp > 40 8 >192.168.3.3..2936 192.168.1.99..netbios-ss > > tcp > 40 8 >192.168.3.3..2935 192.168.1.99..microsoft- > > tcp > 40 8 >192.168.3.3..2937 192.168.1.99..microsoft- > > tcp > 40 8 >217.251.x.216..router 255.255.255.255..router > udp > > 52 > >На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса - >rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 >rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255 > >Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде >бы не бродкасты, а каким образом сетевуха их ловит??? И причем >на них набегает ощутимый трафик. Можно как-нибудь объяснить это? Скорее всего у Вас старый/битый trafshow (version?). Скачайте новый из портов и посмотрите результат.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Помогите разобраться со странной активностью"
	Сообщение от j4m0 on 12-Май-06, 16:43
	Стояла версия 3.1 (та что из портов). Нашел на сайте автора последнюю версию (5.2.3). Ситуация немного изменилась, но все равно вижу такие записи: Source Destination Protocol Size CPS ------------------------------------------------------------------------------------------ 00:09:7c:73:dd:4c 01:80:c2:00:00:00 stp 5940 19 00:05:00:94:c0:38 broadcast arp 360 35 217.x.x.195,netbios-dg 217.x.x.255,netbios-dg udp 237 00:0f:3d:1a:65:38 broadcast arp 120 8 217.x.x.247,49927 ns.extel.ru,domain udp 73 217.x.x.216,router 255.255.255.255,router udp 52 217.151.70.82,2861 217.x.x.209,microsoft- tcp 48 192.168.3.3,4814 192.168.1.99,netbios-ss tcp 40 192.168.3.3,4813 192.168.1.99,microsoft- tcp 40 Особенно непонятно вот что: на днях провайдер выставил счет за очень большое превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто сталкивался с таким. Может ли быть такая утечка трафика на бродкаст адрес и как это в принципе возможно???
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Помогите разобраться со странной активностью"
	Сообщение от Голышев Михаил on 12-Май-06, 20:21
	>Особенно непонятно вот что: на днях провайдер выставил счет за очень большое >превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но >на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто >сталкивался с таким. Может ли быть такая утечка трафика на бродкаст >адрес и как это в принципе возможно??? Запретите входящие броадкаст пакеты на внешний адрес. Запретите входящие пакеты на внешний адрес с адресом получателя != 217.x.x.247 Запретите исходящие пакеты с внешнего адреса с адресом отправителя != 217.x.x.247
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]