Автор Тема: IP traffic monitor =>  (Прочетена 3796 пъти)

fastaci

  • Участници
  • ***
  • Публикации: 10
    • Профил
    • WWW
IP traffic monitor =>
« -: Mar 08, 2005, 23:29 »
Здравейте,
Преди няколко часа инсталирах slackware10.0 ,на машината на един приятел. Всичко си мина по учебник. Инсталирах му usb модема за гнусния adsl. И всичко заработи чудесно. Седнахме да пийнем по една биричка, когато забелязах, че лампичката на модема не спира да мига... Стана ми много странно и реших да видя какво толкова се влачи по мрежата. И ето какво видях:

Примерен код

Wed Mar  9 01:23:55 2005; TCP; ppp0; 48 bytes; from 83.35.158.60:1134 to 81.33.58.119:4662; first packet (SYN)
Wed Mar  9 01:23:55 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 83.35.158.60:1134; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:55 2005; TCP; ppp0; 48 bytes; from 81.61.188.33:50253 to 81.33.58.119:4662; first packet (SYN)
Wed Mar  9 01:23:55 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 81.61.188.33:50253; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:56 2005; TCP; ppp0; 52 bytes; from 81.33.58.119:32855 to 195.96.224.121:80; FIN sent; 9 packets, 1683 bytes, avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:56 2005; TCP; ppp0; 52 bytes; from 195.96.224.121:80 to 81.33.58.119:32855; FIN acknowleged
Wed Mar  9 01:23:57 2005; TCP; ppp0; 48 bytes; from 62.42.7.48:2668 to 81.33.58.119:4662; first packet (SYN)
Wed Mar  9 01:23:57 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:57 2005; TCP; ppp0; 48 bytes; from 62.42.7.48:2668 to 81.33.58.119:4662; first packet (SYN)
Wed Mar  9 01:23:57 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:57 2005; TCP; ppp0; 48 bytes; from 83.40.175.131:3300 to 81.33.58.119:4662; first packet (SYN)
Wed Mar  9 01:23:57 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 83.40.175.131:3300; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:58 2005; TCP; ppp0; 48 bytes; from 83.35.158.60:1134 to 81.33.58.119:4662; first packet (SYN)
Wed Mar  9 01:23:58 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 83.35.158.60:1134; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s
Wed Mar  9 01:23:58 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 2 packets, 96 bytes; avg flow rate 0.00 kbits/s

 
Въпроса ми е какво слуша на тези портове 4662 и 4672. Лично аз нямам спомен да съм пускал каквото и да е на тези портове. Инсталацията е съвсем нова. От къде може да идват тези гнусни пакети и как мога да ги филтрирам :-/
Активен

It's clever, but is it art?

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
IP traffic monitor =>
« Отговор #1 -: Mar 09, 2005, 00:31 »
Какво дава

netstat -ntap

Филтрация с iptables прим.
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

fastaci

  • Участници
  • ***
  • Публикации: 10
    • Профил
    • WWW
IP traffic monitor =>
« Отговор #2 -: Mar 09, 2005, 03:09 »
Примерен код

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:33026           0.0.0.0:*               LISTEN      28160/licq
tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN      1297/inetd
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      1316/sendmail: acce
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN      27785/X
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN      1297/inetd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1300/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      1316/sendmail: acce
tcp        0      0 127.0.0.1:5180          0.0.0.0:*               LISTEN      27900/netscape-bin
tcp        1      0 83.33.133.45:33161      212.50.10.132:80        CLOSE_WAIT  27900/netscape-bin
tcp        1      0 83.33.133.45:33160      212.50.10.132:80        CLOSE_WAIT  27900/netscape-bin
tcp        0      0 83.33.133.45:33028      64.12.28.96:5190        ESTABLISHED 28160/licq


Това ми връща при: netstat -ntap
А за ипетаблес си го мислех, но не знам как точно става трика '<img'> Никога не съм ги ползвал..
Активен

It's clever, but is it art?

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
IP traffic monitor =>
« Отговор #3 -: Mar 09, 2005, 04:23 »
Като гледам нищо не слуша на тия портове.

Иначе:

iptables -I INPUT 1 -p tcp --dport 4662 -j DROP

и още:
http://www.grc.com/port_4672.htm
http://www.seifried.org/security/ports/4000/4662.html
http://www.emule-project.net/home....w_topic
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

spawnman

  • Напреднали
  • *****
  • Публикации: 455
    • Профил
IP traffic monitor =>
« Отговор #4 -: Mar 09, 2005, 08:20 »
Аз имам един хипотетичен въпрос:
Наложително ли е да се филтрират портове, които не са (и евентуално никога няма да бъдат) отворени и по-важното е ЗАЩО?
Благодаря предварително за всеки съдържателен отговор '<img'>
Активен

Mandriva Cooker
BlackBox

FV80503200 SL27J, 82437FX TSC, 128 (4x32) MB 72pin EDO, AHA-2940UW, ST34572W, M2513A, CDU521, CTL0024, 3C509b-TPC, 215R3PUA22, FP767-12

  • Гост
IP traffic monitor =>
« Отговор #5 -: Mar 09, 2005, 09:40 »
Цитат (spawnman @ Март 09 2005,09:20)
Аз имам един хипотетичен въпрос:
Наложително ли е да се филтрират портове, които не са (и евентуално никога няма да бъдат) отворени и по-важното е ЗАЩО?
Благодаря предварително за всеки съдържателен отговор '<img'>

Ако няма да се отварят няма какво да филтрираш, но това не е проблем поради следната причина:
Когато изграждаш защитна стена първо спираш всички трафик и после пускаш само каквото ти е необходимо. Съответно дали ще е пуснат или не няма кой знае какво значение, веднъж като знаеш какво точно си пуснал и не.
Активен

  • Гост
IP traffic monitor =>
« Отговор #6 -: Mar 09, 2005, 09:41 »
Малии какви обяснения  пускам....ужас. Дано си ми разбрал мисълта.
Активен

fastaci

  • Участници
  • ***
  • Публикации: 10
    • Профил
    • WWW
IP traffic monitor =>
« Отговор #7 -: Mar 09, 2005, 10:40 »
Много мерсита за бързите отговори,
До колкото схванах, на тези портове слушат някакви пер то пер клиенти/демони. Странното в случея, е че аз не съм пускал такива ?!
Дано това с ипетаблес помогне  '<img'>
Активен

It's clever, but is it art?

voyager

  • Напреднали
  • *****
  • Публикации: 152
    • Профил
IP traffic monitor =>
« Отговор #8 -: Mar 09, 2005, 12:24 »
...Защо ли като гледам "примерните" неща по-горе си мисля, че става въпрос за други машини, не за твоята
извадчица:
... from 81.33.58.119:4662 to 62.42.7.48:2668 ...
при положение, че от нетстата ти става ясно, че ип-то ти е 83.33.133.45. Както се вижда, dude where's my car '<img'> т.е. другите хора, който ползват broadband по същия кабел виждаш и техни неща и се бъркаш нещо мн. здраво. Иначе бих ти препоръчал да си направиш защитна стена по начина, описан малко по-горе, той деиствително е най-добрия, но в някой случаи е неприложим... примерно при някой p2p програми...
А, за iptables: RTFM, има го описано поне в няколко howto-ta как се работи с него (network, firewall, ...) и питай гугъл - дава мн добри резултати като този: http://www.siliconvalleyccie.com/linux-hn/iptables-intro.htm например.
Активен

spawnman

  • Напреднали
  • *****
  • Публикации: 455
    • Профил
IP traffic monitor =>
« Отговор #9 -: Mar 09, 2005, 12:46 »
За jmut: спор няма, че прави ли се Firewall за запушва всичко и след това се отварят само необходимите неща '<img'>

Но в моя случай няма отворени портове на ethX, така че има ли смисъл от пускането на Firewall, когато нямаш отворени портове '<img'>

Ето резултата от netstat, за да не съм голословен:

Цитат
$ netstat -tul
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:2000          *:*                     LISTEN
Активен

Mandriva Cooker
BlackBox

FV80503200 SL27J, 82437FX TSC, 128 (4x32) MB 72pin EDO, AHA-2940UW, ST34572W, M2513A, CDU521, CTL0024, 3C509b-TPC, 215R3PUA22, FP767-12

fastaci

  • Участници
  • ***
  • Публикации: 10
    • Профил
    • WWW
IP traffic monitor =>
« Отговор #10 -: Mar 09, 2005, 13:10 »
Цитат (voyager @ Март 09 2005,13:24)
...Защо ли като гледам "примерните" неща по-горе си мисля, че става въпрос за други машини, не за твоята
извадчица:
... from 81.33.58.119:4662 to 62.42.7.48:2668 ...
при положение, че от нетстата ти става ясно, че ип-то ти е 83.33.133.45. Както се вижда, dude where's my car '<img'> т.е. другите хора, който ползват broadband по същия кабел виждаш и техни неща и се бъркаш нещо мн. здраво. Иначе бих ти препоръчал да си направиш защитна стена по начина, описан малко по-горе, той деиствително е най-добрия, но в някой случаи е неприложим... примерно при някой p2p програми...


Така...
Това една ADSL линия, която ползва pppoe протокола (не съм много на ясно с тези неща) Всеки път, когато рестартна модема ppp0 приема ново ip. Така и е станало...  81.33.58.119 на 83.33.133.45 . Сега ако рестартна модема, ще е нещо друго.
Активен

It's clever, but is it art?

  • Гост
IP traffic monitor =>
« Отговор #11 -: Mar 09, 2005, 13:38 »
Цитат (spawnman @ Март 09 2005,13:46)
За jmut: спор няма, че прави ли се Firewall за запушва всичко и след това се отварят само необходимите неща '<img'>

Но в моя случай няма отворени портове на ethX, така че има ли смисъл от пускането на Firewall, когато нямаш отворени портове '<img'>

Ето резултата от netstat, за да не съм голословен:

Цитат
$ netstat -tul
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:2000          *:*                     LISTEN

ами освен да обърнеш внимание на този порт 2000 друго май няма. смисълът на това че затваряш всико и пускаш каквото ти трябва е че все пак не може да си на 100% сигурен кое кога ще тръгне и къде ще иска да слуша. Можеш да си сигурен обаче че което ти си пуснал, това ще работи и нищо друго.
Активен

CaBA

  • Напреднали
  • *****
  • Публикации: 303
    • Профил
    • WWW
IP traffic monitor =>
« Отговор #12 -: Mar 09, 2005, 13:51 »
Цитат
81.33.58.119:4662 to 62.42.7.48:2668; Connection reset
просто означава, че на порт 4662 нищо не слуша. Ако слушаше, щеше да приеме връзката, т.е. да изпрати TCP пакет с вдигнати флагове SYN и ACK.
Активен

10 години ябълкова диета стигат, стигат!

spawnman

  • Напреднали
  • *****
  • Публикации: 455
    • Профил
IP traffic monitor =>
« Отговор #13 -: Mar 09, 2005, 15:36 »
Малко пояснение: localhost = 127.0.0.1, което не се меси с ethX, така че к`вото и допълнително внимание да му обръщам ще е излишно - така си е повече от secure '<img'>
А относно "кое кога ще тръгне и къде ще иска да слуша" - нали затова съм избрал Linux пред Windows, за да определям АЗ как да стават нещата '<img'>  '<img'>  '<img'>
Активен

Mandriva Cooker
BlackBox

FV80503200 SL27J, 82437FX TSC, 128 (4x32) MB 72pin EDO, AHA-2940UW, ST34572W, M2513A, CDU521, CTL0024, 3C509b-TPC, 215R3PUA22, FP767-12

  • Гост
IP traffic monitor =>
« Отговор #14 -: Mar 09, 2005, 15:45 »
Цитат (spawnman @ Март 09 2005,16:36)
Малко пояснение: localhost = 127.0.0.1, което не се меси с ethX, така че к`вото и допълнително внимание да му обръщам ще е излишно - така си е повече от secure '<img'>
А относно "кое кога ще тръгне и къде ще иска да слуша" - нали затова съм избрал Linux пред Windows, за да определям АЗ как да стават нещата '<img'>  '<img'>  '<img'>

не обърнах внимание че е локал хост. прав си.
Колкото до линукс, радвам се че си толкова уверен че всичко ще ти върви винаги както си мислиш '<img'>
Shit happens though!
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
TiTo (Traffic In, Traffic Out) presentation
Web development
_XTREME_ 2 4203 Последна публикация Aug 13, 2004, 17:15
от _XTREME_
monitor
Настройка на програми
ivo_1985 1 1433 Последна публикация Jan 06, 2005, 15:07
от spawnman
TiTo: Traffic In, Traffic Out 1.0.7
Настройка на програми
hristo_y 0 2094 Последна публикация Apr 22, 2005, 01:16
от hristo_y
External Monitor
Настройка на хардуер
chk6 2 2119 Последна публикация Dec 27, 2011, 17:23
от chk6
Blitzed Open Proxy Monitor
Настройка на програми
dwni2 9 3251 Последна публикация Mar 15, 2012, 14:25
от neter