Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: Astor в Nov 04, 2011, 22:41



Титла: Странен TCP/UDP трафик към linux host (Flood вероятно)
Публикувано от: Astor в Nov 04, 2011, 22:41
Здравейте, от скоро забелязвам следния проблем, който ми прилича на syn flood, но има и UDP пакети разни...та:

При пуснат компютър (Debian Squeeze, kernel 2.6.32-5-686) забелязвам някакъв странен трафик на wireshark-а (прикачената снимка).
Цитат
Source      Destination      Protocol   Info
78.90.198.241   10.0.0.2      UDP      Source port: 9027 Destination port: 62000
10.0.0.2   78.90.198.241      ICPM      Destination unreachable (Port unreachable)
109.121.254.216   10.0.0.2      UDP      Source port: 21943 Destination port: 62000
10.0.0.2   109.121.254.216      ICPM      Destination unreachable (Port unreachable)
122.177.7.161   10.0.0.2      UDP      Source port: 14355 Destination port: 62000
...
109.120.207.85   10.0.0.2      ТCP      ipass > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 TSV=0 TSER=0
...
78.90.64.114   10.0.0.2      TCP      63917 > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
78.90.198.241   10.0.0.2      TCP      55525 > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460
88.89.176.114   10.0.0.2      TCP      27998 > 62000 [SYN] Seq=0 Win=8192 Len=0 MSS=1460
78.90.198.241   10.0.0.2      UDP      Source port: 9027 Destination port: 62000
10.0.0.2   78.90.198.241      ICPM      Destination unreachable (Port unreachable)
...


Пристигат TCP/UDP пакети с произволни ip адреси на dest порт 62000. Компютърът е зад NAT, като само порт 62000 е пренасочен от рутера към него (10.0.0.2) за upload на торент трафик.
Махна ли пренасочването веднага изчезва и този трафик.

В момента на тест-а компютъра не ползва никакви мрежови ресурси.
Няма и кативни TCP/UDP сесии:
Цитат
user@user:/home/user# netstat -ntap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2326/sshd       
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1900/cupsd     
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1785/exim4     
tcp6       0      0 :::22                   :::*                    LISTEN      2326/sshd       
tcp6       0      0 ::1:631                 :::*                    LISTEN      1900/cupsd     
tcp6       0      0 ::1:25                  :::*                    LISTEN      1785/exim4

Как мога да разбера каква е целта на този трафик и кой/какво го генерира? Ако е злонамерен/излишен да сменя ли порта за торенти? Проблемът няма ли да се появи пак? Някак си да го филтрирам по-добре от рутера?
Благодаря ви предварително.


Титла: Re: Странен TCP/UDP трафик към linux host (Flood вероятно)
Публикувано от: Acho в Nov 05, 2011, 09:38
От торентите ще е. Аз при мен ползвам 10000 порт за тая цел. В събота примерно в 14 часа си спирам машината (естествено и торент клиента ми, слушащ на 10000 порт). И в понеделник като дойда сутринта в 9 часа, гледам на рутера ми (MikroTik в случая) все още има входящи конекции към 10000 порт на моята машина (спряна преди ден и половина) и то са доста на брой. Явно че повече време тракера подава твоя IP адрес и порт за теглене на другите торент клиенти. Едва ли е от друго.


Титла: Re: Странен TCP/UDP трафик към linux host (Flood вероятно)
Публикувано от: Astor в Nov 05, 2011, 13:45
Благодаря ти за отговора Acho!
Пробвах да сменя порта с друг и там същата работа се получи. Това като цяло е излишен (паразитен) трафик, има ли вариант да се изолира...


Титла: Re: Странен TCP/UDP трафик към linux host (Flood вероятно)
Публикувано от: Acho в Nov 05, 2011, 14:37
Предполагам ще има вариант, нещо от сорта да го дропя още на входа. Ама то трафика е минимален, няма да ме събори. Аз не виждам какво те притеснява Астор. Нека си правят заявки, така или иначе няма кой да им отговори. Ами като има пуснат торент клиент ? То тогава е баш трафика. Остави си го така и не му бери грижа.