The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите разобраться со странной активностью"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите разобраться со странной активностью"  
Сообщение от j4m0 on 12-Май-06, 02:25 
Запускаю trafshow на внешнем интерфейсе:
# trafshow -i rl1

И вижу среди прочего следующее:

From Address              To Address                              Proto          Bytes CPS
==========================================================================================
192.168.3.3..2938         192.168.1.99..netbios-ss                tcp               40 8
192.168.3.3..2936         192.168.1.99..netbios-ss                tcp               40 8
192.168.3.3..2935         192.168.1.99..microsoft-                tcp               40 8
192.168.3.3..2937         192.168.1.99..microsoft-                tcp               40 8
217.251.x.216..router     255.255.255.255..router                 udp               52

На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса -
rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255

Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде бы не бродкасты, а каким образом сетевуха их ловит??? И причем на них набегает ощутимый трафик. Можно как-нибудь объяснить это?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Помогите разобраться со странной активностью"  
Сообщение от Голышев Михаил on 12-Май-06, 13:47 
>Запускаю trafshow на внешнем интерфейсе:
># trafshow -i rl1
>
>И вижу среди прочего следующее:
>
>From Address          
>   To Address      
>          
>          
> Proto          
>Bytes CPS
>==========================================================================================
>192.168.3.3..2938         192.168.1.99..netbios-ss  
>          
>  tcp        
>      40 8
>192.168.3.3..2936         192.168.1.99..netbios-ss  
>          
>  tcp        
>      40 8
>192.168.3.3..2935         192.168.1.99..microsoft-  
>          
>  tcp        
>      40 8
>192.168.3.3..2937         192.168.1.99..microsoft-  
>          
>  tcp        
>      40 8
>217.251.x.216..router     255.255.255.255..router      
>          udp
>          
>   52
>
>На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса -
>rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
>rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255
>
>Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде
>бы не бродкасты, а каким образом сетевуха их ловит??? И причем
>на них набегает ощутимый трафик. Можно как-нибудь объяснить это?

Скорее всего у Вас старый/битый trafshow (version?).
Скачайте новый из портов и посмотрите результат.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Помогите разобраться со странной активностью"  
Сообщение от j4m0 on 12-Май-06, 16:43 
Стояла версия 3.1 (та что из портов). Нашел на сайте автора последнюю версию (5.2.3). Ситуация немного изменилась, но все равно вижу такие записи:

Source                         Destination                                   Protocol           Size               CPS
------------------------------------------------------------------------------------------
00:09:7c:73:dd:4c           01:80:c2:00:00:00                             stp                5940               19
00:05:00:94:c0:38           broadcast                                     arp                360                35
217.x.x.195,netbios-dg      217.x.x.255,netbios-dg                        udp                237
00:0f:3d:1a:65:38           broadcast                                     arp                120                8
217.x.x.247,49927           ns.extel.ru,domain                            udp                73
217.x.x.216,router          255.255.255.255,router                        udp                52
217.151.70.82,2861          217.x.x.209,microsoft-                        tcp                48
192.168.3.3,4814            192.168.1.99,netbios-ss                       tcp                40
192.168.3.3,4813            192.168.1.99,microsoft-                       tcp                40


Особенно непонятно вот что: на днях провайдер выставил счет за очень большое превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто сталкивался с таким. Может ли быть такая утечка трафика на бродкаст адрес и как это в принципе возможно???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Помогите разобраться со странной активностью"  
Сообщение от Голышев Михаил on 12-Май-06, 20:21 
>Особенно непонятно вот что: на днях провайдер выставил счет за очень большое
>превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но
>на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто
>сталкивался с таким. Может ли быть такая утечка трафика на бродкаст
>адрес и как это в принципе возможно???

Запретите входящие броадкаст пакеты на внешний адрес.
Запретите входящие пакеты на внешний адрес с адресом получателя != 217.x.x.247
Запретите исходящие пакеты с внешнего адреса с адресом отправителя != 217.x.x.247

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру