Титла: IP traffic monitor =>
Публикувано от: fastaci в Mar 08, 2005, 23:29
Здравейте,
Преди няколко часа инсталирах slackware10.0 ,на машината на един приятел. Всичко си мина по учебник. Инсталирах му usb модема за гнусния adsl. И всичко заработи чудесно. Седнахме да пийнем по една биричка, когато забелязах, че лампичката на модема не спира да мига... Стана ми много странно и реших да видя какво толкова се влачи по мрежата. И ето какво видях:
Въпроса ми е какво слуша на тези портове 4662 и 4672. Лично аз нямам спомен да съм пускал каквото и да е на тези портове. Инсталацията е съвсем нова. От къде може да идват тези гнусни пакети и как мога да ги филтрирам :-/
Преди няколко часа инсталирах slackware10.0 ,на машината на един приятел. Всичко си мина по учебник. Инсталирах му usb модема за гнусния adsl. И всичко заработи чудесно. Седнахме да пийнем по една биричка, когато забелязах, че лампичката на модема не спира да мига... Стана ми много странно и реших да видя какво толкова се влачи по мрежата. И ето какво видях:
| Примерен код |
Wed Mar 9 01:23:55 2005; TCP; ppp0; 48 bytes; from 83.35.158.60:1134 to 81.33.58.119:4662; first packet (SYN) Wed Mar 9 01:23:55 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 83.35.158.60:1134; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s Wed Mar 9 01:23:55 2005; TCP; ppp0; 48 bytes; from 81.61.188.33:50253 to 81.33.58.119:4662; first packet (SYN) Wed Mar 9 01:23:55 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 81.61.188.33:50253; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s Wed Mar 9 01:23:56 2005; TCP; ppp0; 52 bytes; from 81.33.58.119:32855 to 195.96.224.121:80; FIN sent; 9 packets, 1683 bytes, avg flow rate 0.00 kbits/s Wed Mar 9 01:23:56 2005; TCP; ppp0; 52 bytes; from 195.96.224.121:80 to 81.33.58.119:32855; FIN acknowleged Wed Mar 9 01:23:57 2005; TCP; ppp0; 48 bytes; from 62.42.7.48:2668 to 81.33.58.119:4662; first packet (SYN) Wed Mar 9 01:23:57 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s Wed Mar 9 01:23:57 2005; TCP; ppp0; 48 bytes; from 62.42.7.48:2668 to 81.33.58.119:4662; first packet (SYN) Wed Mar 9 01:23:57 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 kbits/s Wed Mar 9 01:23:57 2005; TCP; ppp0; 48 bytes; from 83.40.175.131:3300 to 81.33.58.119:4662; first packet (SYN) Wed Mar 9 01:23:57 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 83.40.175.131:3300; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s Wed Mar 9 01:23:58 2005; TCP; ppp0; 48 bytes; from 83.35.158.60:1134 to 81.33.58.119:4662; first packet (SYN) Wed Mar 9 01:23:58 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 83.35.158.60:1134; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 1 packets, 48 bytes; avg flow rate 0.00 kbits/s Wed Mar 9 01:23:58 2005; TCP; ppp0; 40 bytes; from 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbits/s; opposite direction 2 packets, 96 bytes; avg flow rate 0.00 kbits/s |
Въпроса ми е какво слуша на тези портове 4662 и 4672. Лично аз нямам спомен да съм пускал каквото и да е на тези портове. Инсталацията е съвсем нова. От къде може да идват тези гнусни пакети и как мога да ги филтрирам :-/
Титла: IP traffic monitor =>
Публикувано от: VladSun в Mar 09, 2005, 00:31
Какво дава
netstat -ntap
Филтрация с iptables прим.
netstat -ntap
Филтрация с iptables прим.
Титла: IP traffic monitor =>
Публикувано от: fastaci в Mar 09, 2005, 03:09
| Примерен код |
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:33026 0.0.0.0:* LISTEN 28160/licq tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 1297/inetd tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 1316/sendmail: acce tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 27785/X tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 1297/inetd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1300/sshd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1316/sendmail: acce tcp 0 0 127.0.0.1:5180 0.0.0.0:* LISTEN 27900/netscape-bin tcp 1 0 83.33.133.45:33161 212.50.10.132:80 CLOSE_WAIT 27900/netscape-bin tcp 1 0 83.33.133.45:33160 212.50.10.132:80 CLOSE_WAIT 27900/netscape-bin tcp 0 0 83.33.133.45:33028 64.12.28.96:5190 ESTABLISHED 28160/licq |
Това ми връща при: netstat -ntap
А за ипетаблес си го мислех, но не знам как точно става трика
Никога не съм ги ползвал..Титла: IP traffic monitor =>
Публикувано от: VladSun в Mar 09, 2005, 04:23
Като гледам нищо не слуша на тия портове.
Иначе:
iptables -I INPUT 1 -p tcp --dport 4662 -j DROP
и още:
http://www.grc.com/port_4672.htm
http://www.seifried.org/security/ports/4000/4662.html
http://www.emule-project.net/home....w_topic
Иначе:
iptables -I INPUT 1 -p tcp --dport 4662 -j DROP
и още:
http://www.grc.com/port_4672.htm
http://www.seifried.org/security/ports/4000/4662.html
http://www.emule-project.net/home....w_topic
Титла: IP traffic monitor =>
Публикувано от: spawnman в Mar 09, 2005, 08:20
Аз имам един хипотетичен въпрос:
Наложително ли е да се филтрират портове, които не са (и евентуално никога няма да бъдат) отворени и по-важното е ЗАЩО?
Благодаря предварително за всеки съдържателен отговор
Наложително ли е да се филтрират портове, които не са (и евентуално никога няма да бъдат) отворени и по-важното е ЗАЩО?
Благодаря предварително за всеки съдържателен отговор
Титла: IP traffic monitor =>
Публикувано от: в Mar 09, 2005, 09:40
| Цитат (spawnman @ Март 09 2005,09:20) |
| Аз имам един хипотетичен въпрос: Наложително ли е да се филтрират портове, които не са (и евентуално никога няма да бъдат) отворени и по-важното е ЗАЩО? Благодаря предварително за всеки съдържателен отговор |
Ако няма да се отварят няма какво да филтрираш, но това не е проблем поради следната причина:
Когато изграждаш защитна стена първо спираш всички трафик и после пускаш само каквото ти е необходимо. Съответно дали ще е пуснат или не няма кой знае какво значение, веднъж като знаеш какво точно си пуснал и не.
Титла: IP traffic monitor =>
Публикувано от: в Mar 09, 2005, 09:41
Малии какви обяснения пускам....ужас. Дано си ми разбрал мисълта.
Титла: IP traffic monitor =>
Публикувано от: fastaci в Mar 09, 2005, 10:40
Много мерсита за бързите отговори,
До колкото схванах, на тези портове слушат някакви пер то пер клиенти/демони. Странното в случея, е че аз не съм пускал такива ?!
Дано това с ипетаблес помогне
До колкото схванах, на тези портове слушат някакви пер то пер клиенти/демони. Странното в случея, е че аз не съм пускал такива ?!
Дано това с ипетаблес помогне
Титла: IP traffic monitor =>
Публикувано от: voyager в Mar 09, 2005, 12:24
...Защо ли като гледам "примерните" неща по-горе си мисля, че става въпрос за други машини, не за твоята
извадчица:
... from 81.33.58.119:4662 to 62.42.7.48:2668 ...
при положение, че от нетстата ти става ясно, че ип-то ти е 83.33.133.45. Както се вижда, dude where's my car т.е. другите хора, който ползват broadband по същия кабел виждаш и техни неща и се бъркаш нещо мн. здраво. Иначе бих ти препоръчал да си направиш защитна стена по начина, описан малко по-горе, той деиствително е най-добрия, но в някой случаи е неприложим... примерно при някой p2p програми...
А, за iptables: RTFM, има го описано поне в няколко howto-ta как се работи с него (network, firewall, ...) и питай гугъл - дава мн добри резултати като този: http://www.siliconvalleyccie.com/linux-hn/iptables-intro.htm например.
извадчица:
... from 81.33.58.119:4662 to 62.42.7.48:2668 ...
при положение, че от нетстата ти става ясно, че ип-то ти е 83.33.133.45. Както се вижда, dude where's my car
т.е. другите хора, който ползват broadband по същия кабел виждаш и техни неща и се бъркаш нещо мн. здраво. Иначе бих ти препоръчал да си направиш защитна стена по начина, описан малко по-горе, той деиствително е най-добрия, но в някой случаи е неприложим... примерно при някой p2p програми...А, за iptables: RTFM, има го описано поне в няколко howto-ta как се работи с него (network, firewall, ...) и питай гугъл - дава мн добри резултати като този: http://www.siliconvalleyccie.com/linux-hn/iptables-intro.htm например.
Титла: IP traffic monitor =>
Публикувано от: spawnman в Mar 09, 2005, 12:46
За jmut: спор няма, че прави ли се Firewall за запушва всичко и след това се отварят само необходимите неща
Но в моя случай няма отворени портове на ethX, така че има ли смисъл от пускането на Firewall, когато нямаш отворени портове
Ето резултата от netstat, за да не съм голословен:
Но в моя случай няма отворени портове на ethX, така че има ли смисъл от пускането на Firewall, когато нямаш отворени портове
Ето резултата от netstat, за да не съм голословен:
| Цитат |
| $ netstat -tul Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:2000 *:* LISTEN |
Титла: IP traffic monitor =>
Публикувано от: fastaci в Mar 09, 2005, 13:10
| Цитат (voyager @ Март 09 2005,13:24) |
| ...Защо ли като гледам "примерните" неща по-горе си мисля, че става въпрос за други машини, не за твоята извадчица: ... from 81.33.58.119:4662 to 62.42.7.48:2668 ... при положение, че от нетстата ти става ясно, че ип-то ти е 83.33.133.45. Както се вижда, dude where's my car т.е. другите хора, който ползват broadband по същия кабел виждаш и техни неща и се бъркаш нещо мн. здраво. Иначе бих ти препоръчал да си направиш защитна стена по начина, описан малко по-горе, той деиствително е най-добрия, но в някой случаи е неприложим... примерно при някой p2p програми... |
Така...
Това една ADSL линия, която ползва pppoe протокола (не съм много на ясно с тези неща) Всеки път, когато рестартна модема ppp0 приема ново ip. Така и е станало... 81.33.58.119 на 83.33.133.45 . Сега ако рестартна модема, ще е нещо друго.
Титла: IP traffic monitor =>
Публикувано от: в Mar 09, 2005, 13:38
| Цитат (spawnman @ Март 09 2005,13:46) | ||
| За jmut: спор няма, че прави ли се Firewall за запушва всичко и след това се отварят само необходимите неща Но в моя случай няма отворени портове на ethX, така че има ли смисъл от пускането на Firewall, когато нямаш отворени портове Ето резултата от netstat, за да не съм голословен:
|
ами освен да обърнеш внимание на този порт 2000 друго май няма. смисълът на това че затваряш всико и пускаш каквото ти трябва е че все пак не може да си на 100% сигурен кое кога ще тръгне и къде ще иска да слуша. Можеш да си сигурен обаче че което ти си пуснал, това ще работи и нищо друго.
Титла: IP traffic monitor =>
Публикувано от: CaBA в Mar 09, 2005, 13:51
| Цитат |
| 81.33.58.119:4662 to 62.42.7.48:2668; Connection reset |
Титла: IP traffic monitor =>
Публикувано от: spawnman в Mar 09, 2005, 15:36
Малко пояснение: localhost = 127.0.0.1, което не се меси с ethX, така че к`вото и допълнително внимание да му обръщам ще е излишно - така си е повече от secure
А относно "кое кога ще тръгне и къде ще иска да слуша" - нали затова съм избрал Linux пред Windows, за да определям АЗ как да стават нещата
А относно "кое кога ще тръгне и къде ще иска да слуша" - нали затова съм избрал Linux пред Windows, за да определям АЗ как да стават нещата
Титла: IP traffic monitor =>
Публикувано от: в Mar 09, 2005, 15:45
| Цитат (spawnman @ Март 09 2005,16:36) |
| Малко пояснение: localhost = 127.0.0.1, което не се меси с ethX, така че к`вото и допълнително внимание да му обръщам ще е излишно - така си е повече от secure А относно "кое кога ще тръгне и къде ще иска да слуша" - нали затова съм избрал Linux пред Windows, за да определям АЗ как да стават нещата |
не обърнах внимание че е локал хост. прав си.
Колкото до линукс, радвам се че си толкова уверен че всичко ще ти върви винаги както си мислиш
Shit happens though!
Титла: IP traffic monitor =>
Публикувано от: VladSun в Mar 09, 2005, 17:08
@spawnman
Хипотетично, ако получаваш 1Мбит/сек SYN пакети това ти изяжда канала
Когато направиш DROP, всъщност не връщаш АБСОЛЮТНО никакъв отговор (иначе отговаряш, че порта е затворен), така че можеш САМО да се надяваш, че SYN flood-a евентуално ще спре (или поне няма да връщаш 1Мбит обратно). Друг е въпросът, че в някои случаи е точно обратното - докато не кажеш "порта е затоврен" flood-a не спира....
Изобщо оправия със SYN flood-a няма
| Цитат (spawnman @ Март 09 2005,08:20) |
| Аз имам един хипотетичен въпрос: Наложително ли е да се филтрират портове, които не са (и евентуално никога няма да бъдат) отворени и по-важното е ЗАЩО? Благодаря предварително за всеки съдържателен отговор |
Хипотетично, ако получаваш 1Мбит/сек SYN пакети това ти изяжда канала
Когато направиш DROP, всъщност не връщаш АБСОЛЮТНО никакъв отговор (иначе отговаряш, че порта е затворен), така че можеш САМО да се надяваш, че SYN flood-a евентуално ще спре (или поне няма да връщаш 1Мбит обратно). Друг е въпросът, че в някои случаи е точно обратното - докато не кажеш "порта е затоврен" flood-a не спира....
Изобщо оправия със SYN flood-a няма
Титла: IP traffic monitor =>
Публикувано от: grigor в Mar 16, 2005, 01:45
Адресите на доставчика ти се раздават динамично, т.е. в повечето случаи получаваш различно от предишното ти айпи. Така, да предположим, че юзър Х е получил адрес Х.У.Х.У, пуснал е пиър-ту-пиър клиент, някой е започнал да сваля нещо от него, но изведнъж юзър Х решава да рестартира модемът си или компютърът си (говоря много хипотетично) и точно в този момент това айпи е свободно в пула на доставчика. Ти правиш връзка към доставчика и той ти предоставя случайно айпито Х.У.Х.У за ползване. Всички, които са сваляли несто от юзер Х, се опитват да се свържат (ТСР син) към неговото предишно/твоето сегашно айпи Х.У.Х.У отново, за да продължат да свалят, не знаейки, че Х вече има айпи Х.Х.У.У.
Искам да кажа, че предполагам, защото не знам как функционират пиър-ту-пиър мрежите в детайли, но се надявам да бъда полезен.
Искам да кажа, че предполагам, защото не знам как функционират пиър-ту-пиър мрежите в детайли, но се надявам да бъда полезен.