Автор Тема: Странен TCP/UDP трафик към linux host (Flood вероятно)  (Прочетена 2236 пъти)

Astor

  • Напреднали
  • *****
  • Публикации: 332
    • Профил
Здравейте, от скоро забелязвам следния проблем, който ми прилича на syn flood, но има и UDP пакети разни...та:

При пуснат компютър (Debian Squeeze, kernel 2.6.32-5-686) забелязвам някакъв странен трафик на wireshark-а (прикачената снимка).
Цитат
Source      Destination      Protocol   Info
78.90.198.241   10.0.0.2      UDP      Source port: 9027 Destination port: 62000
10.0.0.2   78.90.198.241      ICPM      Destination unreachable (Port unreachable)
109.121.254.216   10.0.0.2      UDP      Source port: 21943 Destination port: 62000
10.0.0.2   109.121.254.216      ICPM      Destination unreachable (Port unreachable)
122.177.7.161   10.0.0.2      UDP      Source port: 14355 Destination port: 62000
...
109.120.207.85   10.0.0.2      ТCP      ipass > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 TSV=0 TSER=0
...
78.90.64.114   10.0.0.2      TCP      63917 > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
78.90.198.241   10.0.0.2      TCP      55525 > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460
88.89.176.114   10.0.0.2      TCP      27998 > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460
78.90.198.241   10.0.0.2      UDP      Source port: 9027 Destination port: 62000
10.0.0.2   78.90.198.241      ICPM      Destination unreachable (Port unreachable)
...


Пристигат TCP/UDP пакети с произволни ip адреси на dest порт 62000. Компютърът е зад NAT, като само порт 62000 е пренасочен от рутера към него (10.0.0.2) за upload на торент трафик.
Махна ли пренасочването веднага изчезва и този трафик.

В момента на тест-а компютъра не ползва никакви мрежови ресурси.
Няма и кативни TCP/UDP сесии:
Цитат
user@user:/home/user# netstat -ntap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2326/sshd       
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1900/cupsd     
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1785/exim4     
tcp6       0      0 :::22                   :::*                    LISTEN      2326/sshd       
tcp6       0      0 ::1:631                 :::*                    LISTEN      1900/cupsd     
tcp6       0      0 ::1:25                  :::*                    LISTEN      1785/exim4

Как мога да разбера каква е целта на този трафик и кой/какво го генерира? Ако е злонамерен/излишен да сменя ли порта за торенти? Проблемът няма ли да се появи пак? Някак си да го филтрирам по-добре от рутера?
Благодаря ви предварително.
Активен

Няма начин, да няма начин!

Acho

  • Напреднали
  • *****
  • Публикации: 5193
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
От торентите ще е. Аз при мен ползвам 10000 порт за тая цел. В събота примерно в 14 часа си спирам машината (естествено и торент клиента ми, слушащ на 10000 порт). И в понеделник като дойда сутринта в 9 часа, гледам на рутера ми (MikroTik в случая) все още има входящи конекции към 10000 порт на моята машина (спряна преди ден и половина) и то са доста на брой. Явно че повече време тракера подава твоя IP адрес и порт за теглене на другите торент клиенти. Едва ли е от друго.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

Astor

  • Напреднали
  • *****
  • Публикации: 332
    • Профил
Благодаря ти за отговора Acho!
Пробвах да сменя порта с друг и там същата работа се получи. Това като цяло е излишен (паразитен) трафик, има ли вариант да се изолира...
Активен

Няма начин, да няма начин!

Acho

  • Напреднали
  • *****
  • Публикации: 5193
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Предполагам ще има вариант, нещо от сорта да го дропя още на входа. Ама то трафика е минимален, няма да ме събори. Аз не виждам какво те притеснява Астор. Нека си правят заявки, така или иначе няма кой да им отговори. Ами като има пуснат торент клиент ? То тогава е баш трафика. Остави си го така и не му бери грижа.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Linux dedicated host
Идеи и мнения
nothingfree 1 1674 Последна публикация Mar 03, 2006, 08:43
от ray
Защита от udp flood
Системна Сигурност
newuser1 8 7561 Последна публикация May 06, 2009, 16:05
от gat3way
Проблем с syn flood
Настройка на програми
sasho0o 9 5219 Последна публикация Jun 25, 2009, 20:45
от gat3way
Как се филтрира UDP Flood под Linux ?
Сървъри
Wallkick 29 11953 Последна публикация Jul 16, 2013, 07:01
от v13
Linux Jail = ping: unknown host
Хардуерни и софтуерни проблеми
qwerev 1 1891 Последна публикация Jul 29, 2013, 06:33
от romeo_ninov