unixforum.org

На машине RHEL 6.5. Сегодня заметил, что машина пускает в мир большой трафик.

5 minute input rate 76126000 bits/sec, 9237 packets/sec - статистика порта на свиче.

Отчего это может быть и что надо проверить?

Можно так посмотреть:

или так:

Ну или потисипидампить, или повайршаркать.

Что-бы посмотреть что за трафик можно использовать программку iptraf, довольно удобно.
Какие сетевые сервисы на машине работают? Машина из интернета доступна? Прозреваю использование твоего компа для DDoS атаки вроде DNS amplification или NTP amplification.

К сожалению машина сейчас не под рукой, обязательно проверю. Насчет сервисов, в принципе все то, что должно быть при стандартной установке. Сам я пока ничего не устанавливал.
Да у машины есть доступ из мира.

Перевесил еще раз дистрибутив и такая же история. Как может свежая машина посылать в мир бешеный трафик? И самое галвное в локалку она ничего не посылает.

Может, наоборот, кто-то снаружи на машину стучится?
Берите сниффер в руки и смотрите, что там происходит.

Bizdelnick писал(а): ↑

19.05.2014 20:53

Может, наоборот, кто-то снаружи на машину стучится?
Берите сниффер в руки и смотрите, что там происходит.

Нет точно мшина посылает. По крайней мере статистика порта показывает что загружен инпут, а не аутпут.

Trojan писал(а): ↑

19.05.2014 23:46

статистика порта показывает что загружен инпут, а не аутпут.

Она вполне может отвечать на какой-то запрос извне. В общем, сниффер в помощь.

Trojan писал(а): ↑

19.05.2014 19:42

Как может свежая машина посылать в мир бешеный трафик?

Свежеустановленная ОС содержит ту-же проблему конфигурации которую точно так-же как и раньше злоумышленник использует для атаки какого-то другого хоста.

Телепаты всё-ещё в отпуске, так-что смотри что там за трафик. Прозреваю что весь лишний исходящий трафик это UDP пакеты на какой-то один хост.

P.S. хоть выхлоп ps ax покажи.

Trojan писал(а): ↑

19.05.2014 23:46

Bizdelnick писал(а): ↑

19.05.2014 20:53

Может, наоборот, кто-то снаружи на машину стучится?
Берите сниффер в руки и смотрите, что там происходит.

Нет точно мшина посылает. По крайней мере статистика порта показывает что загружен инпут, а не аутпут.

Смотрите, что интерфейсе(компьютера) происходит программой iftop.
Будет видно вход. трафик и выход. трафик и на какие/с каких адресов. Откуда и куда.
Может это вообще "левый" трафик. Или какое - нибудь автоматическое обновление.

Trojan писал(а): ↑

16.05.2014 23:33

На машине RHEL 6.5. Сегодня заметил, что машина пускает в мир большой трафик.

5 minute input rate 76126000 bits/sec, 9237 packets/sec - статистика порта на свиче.

Отчего это может быть и что надо проверить?

Я бы проверил службу ntp - работает по UDP на 123-ем порту. В последнее время очень сильны DDoS-атаки метдом "усиления трафика" - на сервер времени посылается запрос с подставным обратным адресом вида "ты кто такой", а сервер в ответ на подставной адрес - пару килобайт с рассказом о себе. Образно.

Сам с этим столкнулся на одном из старых серваков, отключение своего сервера обновления времени помогло решить проблему

Автор, ну ты что? tcpdump + wireshark конечно же тебе в помощь

Maximus_V писал(а): ↑

23.05.2014 12:04

Сам с этим столкнулся на одном из старых серваков, отключение своего сервера обновления времени помогло решить проблему

На сколько помню можно просто не отвечать никому за пределы своей сети или списка доверенных IP.
В крайнем случае это настраивается фаерволом.