паразитивный трафик (достал уже!)

[zergon]

набегает трафик, во время бездействия в инете. причем все лишние порты и протоколы отключены и закрыты. а он всё равно идёт. инет через АДСЛ. раньше такого не было. причем, когда отключаю инет, все равно что-то набегает. бред какой-то. с чем это могло быть вызвано?

к примеру:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
17:45:09.690864 IP 95.158.230.180.2459 > 95.158.238.4.445: S 1672565946:1672565946(0) win 65535 <mss 1412,nop,nop,sackOK>
17:45:16.181183 IP 89.74.74.198.27379 > 95.158.238.4.7574: UDP, length 62
17:45:18.682939 IP 87.126.116.232.27024 > 95.158.238.4.52201: UDP, length 103
17:45:25.060669 IP 95.158.238.4.58214 > 89.104.102.12.80: S 2548266490:2548266490(0) win 5808 <mss 1452,sackOK,timestamp 17861989 0,nop,wscale 6>
17:45:29.963368 IP 95.52.147.15.55523 > 95.158.238.4.7574: UDP, length 103
17:45:46.866475 IP 219.67.60.64.31201 > 95.158.238.4.52201: UDP, length 103
17:45:53.040746 IP 89.172.79.123.55641 > 95.158.238.4.7574: UDP, length 103
17:45:56.888666 IP 82.10.141.230.55668 > 95.158.238.4.2657: UDP, length 106
17:45:57.024648 IP 209.173.65.4.1227 > 95.158.238.4.52201: UDP, length 103
17:46:02.292711 IP 95.134.100.96.12990 > 95.158.238.4.52201: UDP, length 103
17:46:04.419743 IP 87.16.78.58.54251 > 95.158.238.4.52201: UDP, length 103
17:46:05.131253 IP 91.9.207.125.62475 > 95.158.238.4.52201: UDP, length 103
17:46:07.255323 IP 193.253.103.94.1443 > 95.158.238.4.52201: UDP, length 103
17:46:10.525248 IP 211.59.68.85.14718 > 95.158.238.4.7574: UDP, length 103
17:46:13.887685 IP 95.158.238.4.123 > 84.204.87.243.123: NTPv4, Client, length 48
17:46:13.936808 IP 84.204.87.243.123 > 95.158.238.4.123: NTPv4, Server, length 48
17:46:14.887683 IP 95.158.238.4.123 > 193.41.86.177.123: NTPv4, Client, length 48
17:46:14.922848 IP 193.41.86.177.123 > 95.158.238.4.123: NTPv4, Server, length 48
17:46:16.532221 IP 78.32.234.67.10916 > 95.158.238.4.7574: UDP, length 103
17:46:18.718866 IP 189.79.195.166.35684 > 95.158.238.4.52201: UDP, length 103
17:46:30.028904 IP 92.249.126.14.3910 > 95.158.238.4.2657: S 3336922854:3336922854(0) win 65535 <mss 1412,nop,nop,sackOK>
17:46:32.197477 IP 93.146.190.56.28586 > 95.158.238.4.52201: UDP, length 103
^C
22 packets captured
22 packets received by filter
0 packets dropped by kernel

[vlavich]

"инет через АДСЛ" - та там такой пипец в этих сетях, шо ничего удивительного в этом нет.
Укртелеком небось?
тут тебя и "звонить" будут на уязвимости, и спам-боты открытые релеи рыщут, и остатки от торрентов предыдущего юзера с этим же адресом, и т.д. и т.п.
это вполне нормальная ситуация.
инет - военная зона и сточная канава одновременно.

[zergon]

ну дык что нельзя с этим что-то сделать?

[Crazy]

man iptables

[SinClaus]

iptables не поможет, т.к. iptables у тебя на компе, а счетчик трафика - на компе провайдера. Если я правильно понимаю, беспокоит накрутка трафика, или сам факт того, что приходят "незаказанные" пакеты?

[akdengi]

Простое пробитие по IP показывает что в основном это все адреса провов - значит различные вири сканят или "подростки балуются". Например 445 порт использует масса червей. "Закрыты" UDP точно? Также например вижу сервер времени (NTP).

[zergon]

да синхронизаця времени стоит, сквид и намед. больше нет ничего. а какие вирусы могут это быть, если под линух нет вирей? куда комапь еще?

[root@localhost admin]# nmap -sU localhost

Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-31 21:17 MSD
Interesting ports on localhost (127.0.0.1):
Not shown: 997 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
3130/udp open|filtered squid-ipc

[akdengi]

да синхронизаця времени стоит, сквид и намед. больше нет ничего. а какие вирусы могут это быть, если под линух нет вирей? куда комапь еще?

[root@localhost admin]# nmap -sU localhost

Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-31 21:17 MSD
Interesting ports on localhost (127.0.0.1):
Not shown: 997 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
3130/udp open|filtered squid-ipc

А squid и named зачем?

P.S. Вирей то может и нет, но сканирование портов постоянно идет из сетки...

[zergon]

вообщем, напрашивается вывод, что просто забить на этот траф?

[vlavich]

а ты собираешься ехать с разборками к сотням тысяч юзверей и пытками добиваться у них признания как с их компьютеров сетевой пакет попал на твой адрес?
я уже прям жду следующую тему "паразитивные письма в почте".
ну, ты давай проверяй ящик, стартуй новый топик а я пока за пивом и орешками сбегаю.

[zergon]

да дело в том, что раньше не было ЛЕВОГО трафика вообще! я засекал на время, смотрел! это очень актуально, если у тебя локальный локальный трафик безлимитный, а внешка платная. Деньги то уходят, даже если ты во внешку и не уходил. А терь непонятно, откуда он появился вдруг. Может какие шпионы в системе или еще что. В винде просто это отсечь Оутпостом, там видно какие процессы идут в инет. В линухе сложнее...

[Rootlexx]

zergon
Выполните от root:

Код: Выделить всё

netstat --inet -ap

— увидите, какие программы имеют соединения с Интернетом, и каковы их локальные и удалённые адреса.
Почитайте ещё: « левый трафик ».

[SinClaus]

Обмен премудростями:

Код: Выделить всё

lsof -i

показывает какие программы соединены с сетью, а так же показывает PID этих программ, что дает возможность быстро прибить тех, кого не должно быть в сем списке

[zergon]

tcp 0 0 localhost:domain *:* LISTEN -
tcp 0 0 127.2.2.0:squid *:* LISTEN -
tcp 0 0 localhost:rndc *:* LISTEN -
tcp 0 0 127.2.2.0:squid 127.2.2.0:4087 TIME_WAIT -
tcp 0 0 127.2.2.0:4088 127.2.2.0:squid ESTABLISHED 4859/opera
tcp 0 0 10.1.162.75:1518 ip-12.102.104.89.net.u:http TIME_WAIT -
tcp 0 0 10.1.162.75:5619 ip-12.102.104.89.net.u:http TIME_WAIT -
tcp 0 0 127.2.2.0:squid 127.2.2.0:4090 ESTABLISHED -
tcp 0 0 127.2.2.0:4091 127.2.2.0:squid ESTABLISHED 4859/opera
tcp 0 0 127.2.2.0:squid 127.2.2.0:4091 ESTABLISHED -
tcp 0 0 10.1.162.75:1210 ip-12.102.104.89.net.u:http TIME_WAIT -
tcp 0 0 127.2.2.0:squid 127.2.2.0:4088 ESTABLISHED -
tcp 0 0 127.2.2.0:4090 127.2.2.0:squid ESTABLISHED 4859/opera
udp 0 0 *:57992 *:* -
udp 0 0 *:61577 *:* -
udp 0 0 *:37145 *:* -
udp 0 0 localhost:domain *:* -
udp 0 0 *:icpv2 *:* -
udp 0 0 *:36162 *:* -
udp 0 0 *:63171 *:* -
udp 0 0 *:43207 *:* -
udp 0 0 *:26697 *:* -
udp 0 0 *:44618 *:* -
udp 0 0 *:53964 *:* -
udp 0 0 *:1615 *:* -
udp 0 0 *:51671 *:* -
udp 0 0 *:krb524 *:* -
udp 0 0 *:29406 *:* -
udp 0 0 *:23008 *:* -
udp 0 0 *:58592 *:* -
udp 0 0 *:5474 *:* -
udp 0 0 *:9321 *:* -
udp 0 0 *:64364 *:* -
udp 0 0 *:10862 *:* -
udp 0 0 *:1518 *:* -
udp 0 0 *:44280 *:* -
udp 0 0 10.1.162.75:ntp *:* -
udp 0 0 localhost:ntp *:* -
udp 0 0 *:ntp *:*

что за udp?

[Rootlexx]

что за udp?

http://ru.wikipedia.org/wiki/UDP .

[SinClaus]

Если смотреть при помощи lsof, будет видно, кто является сервером для этих udp портов, ждущих соединения.