Машина посылает в мир большой траффик
Модератор: Bizdelnick
Машина посылает в мир большой траффик
На машине RHEL 6.5. Сегодня заметил, что машина пускает в мир большой трафик.
5 minute input rate 76126000 bits/sec, 9237 packets/sec - статистика порта на свиче.
Отчего это может быть и что надо проверить?
5 minute input rate 76126000 bits/sec, 9237 packets/sec - статистика порта на свиче.
Отчего это может быть и что надо проверить?
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
Re: Машина посылает в мир большой траффик
Можно так посмотреть:
или так:
Ну или потисипидампить, или повайршаркать.
Код: Выделить всё
:~#modprobe ip_conntrack
:~#cat /proc/net/ip_conntrack
или так:
Код: Выделить всё
:~#netstat -p
Ну или потисипидампить, или повайршаркать.
Re: Машина посылает в мир большой траффик
Что-бы посмотреть что за трафик можно использовать программку iptraf, довольно удобно.
Какие сетевые сервисы на машине работают? Машина из интернета доступна? Прозреваю использование твоего компа для DDoS атаки вроде DNS amplification или NTP amplification.
Какие сетевые сервисы на машине работают? Машина из интернета доступна? Прозреваю использование твоего компа для DDoS атаки вроде DNS amplification или NTP amplification.
Re: Машина посылает в мир большой траффик
К сожалению машина сейчас не под рукой, обязательно проверю. Насчет сервисов, в принципе все то, что должно быть при стандартной установке. Сам я пока ничего не устанавливал.
Да у машины есть доступ из мира.
Да у машины есть доступ из мира.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
Re: Машина посылает в мир большой траффик
Перевесил еще раз дистрибутив и такая же история. Как может свежая машина посылать в мир бешеный трафик? И самое галвное в локалку она ничего не посылает.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Машина посылает в мир большой траффик
Может, наоборот, кто-то снаружи на машину стучится?
Берите сниффер в руки и смотрите, что там происходит.
Берите сниффер в руки и смотрите, что там происходит.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Машина посылает в мир большой траффик
Bizdelnick писал(а): ↑19.05.2014 20:53Может, наоборот, кто-то снаружи на машину стучится?
Берите сниффер в руки и смотрите, что там происходит.
Нет точно мшина посылает. По крайней мере статистика порта показывает что загружен инпут, а не аутпут.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Машина посылает в мир большой траффик
Она вполне может отвечать на какой-то запрос извне. В общем, сниффер в помощь.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Машина посылает в мир большой траффик
Свежеустановленная ОС содержит ту-же проблему конфигурации которую точно так-же как и раньше злоумышленник использует для атаки какого-то другого хоста.
Телепаты всё-ещё в отпуске, так-что смотри что там за трафик. Прозреваю что весь лишний исходящий трафик это UDP пакеты на какой-то один хост.
P.S. хоть выхлоп ps ax покажи.
-
- Сообщения: 1450
- Контактная информация:
Re: Машина посылает в мир большой траффик
Trojan писал(а): ↑19.05.2014 23:46Bizdelnick писал(а): ↑19.05.2014 20:53Может, наоборот, кто-то снаружи на машину стучится?
Берите сниффер в руки и смотрите, что там происходит.
Нет точно мшина посылает. По крайней мере статистика порта показывает что загружен инпут, а не аутпут.
Смотрите, что интерфейсе(компьютера) происходит программой iftop.
Будет видно вход. трафик и выход. трафик и на какие/с каких адресов. Откуда и куда.
Может это вообще "левый" трафик. Или какое - нибудь автоматическое обновление.
Re: Машина посылает в мир большой траффик
Я бы проверил службу ntp - работает по UDP на 123-ем порту. В последнее время очень сильны DDoS-атаки метдом "усиления трафика" - на сервер времени посылается запрос с подставным обратным адресом вида "ты кто такой", а сервер в ответ на подставной адрес - пару килобайт с рассказом о себе. Образно.
Сам с этим столкнулся на одном из старых серваков, отключение своего сервера обновления времени помогло решить проблему
Re: Машина посылает в мир большой траффик
Автор, ну ты что? tcpdump + wireshark конечно же тебе в помощь
Обезьянка видит - Обезьянка делает...