Что это могло быть?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Что это могло быть? - 2007-05-14 17:29:03.883333
|
|
|
BigIron
Сообщений: 898
Оценки: 0
Присоединился: 2007-05-13 18:53:43.593333
|
Короче после очередной "душной" порции арп флуда из сети, вот такое случилось, часа на 2-3.
Может кто подскажет что это было? Ато орет мне мой фарволл на мыло, мол незнакомая ситуевина, адреса мол закрываю нафиг до разборки…..
quote:
10:30:30.770232 00:0c:6e:92:ea:52 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 554: IP 192.168.1.179 > 255.255.255.255: icmp 520: echo request seq 46183
10:30:30.770456 00:0c:6e:92:ea:52 > 00:01:02:9c:d0:4d, ethertype IPv4 (0x0800), length 554: IP 192.168.1.179.4456 > 194.226.128.1.53: 0 [0q] (512)
10:30:30.770610 00:0c:6e:92:ea:52 > 00:01:02:9c:d0:4d, ethertype IPv4 (0x0800), length 554: IP 192.168.1.179.4460 > 194.226.128.1.53: 0 [0q] (512)
10:30:30.770657 00:0c:6e:92:ea:52 > 00:01:02:9c:d0:4d, ethertype IPv4 (0x0800), length 554: IP 192.168.1.179.4461 > 194.226.128.1.53: 0 [0q] (512)
10:30:30.770703 00:0c:6e:92:ea:52 > 00:01:02:9c:d0:4d, ethertype IPv4 (0x0800), length 554: IP 192.168.1.179.4459 > 194.226.128.1.53: 0 [0q] (512)
10:30:30.770749 00:0c:6e:92:ea:52 > 00:01:02:9c:d0:4d, ethertype IPv4 (0x0800), length 554: IP 192.168.1.179.4464 > 194.226.128.1.53: 0 [0q] (512)
Ну это часть собсно. Там далее , после перекрытия первых адресов это "что-то" полезло на другой адрес но уже на 80 порт, с тем-же содержанием пакетов. Активность очень большая была, я редко такое в своей локалке вижу.
Просветите меня плизь.
Кстати судя по всему адрес и мак поддельный, поскольку у чела был комп на то время выключен(по крайней мере мне так наши админы сказали, уж не знаю как там на самом деле).
Пробить насчет загрузки сетевого оборудования не успел, сонный был, только сейчас доперло, надо было хоть сегмент определить, ато сейчас вот сижу, смотрю как баран на новые ворота, хорошо хоть файрволл быстро подхватил, сначала чуток изучил, потом нафиг заткнул.
|
|
|
|
|
RE: Что это могло быть? - 2007-05-14 19:40:03.326666
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
icmp 520: echo request
Пинг короче говоря.
|
|
|
|
|
RE: Что это могло быть? - 2007-05-14 23:55:13.266666
|
|
|
BigIron
Сообщений: 898
Оценки: 0
Присоединился: 2007-05-13 18:53:43.593333
|
ДА я не слепой что пинг.
Причем здесь 520???? 8/11 ! Да еще с такой частотой.
Когда я сканю nmap-ом c T5 задержки и то поболе будут.
Посему и вопрос возник, что это!!!
Задам вопрос конкретнее, какого вида софтина такое творит, и с какими целями. там же еще счетчик по циклу если мне память не изменяет до 65к считал, сбрасывался и заново начинал.
И порты, сначала 53 - вообше какого? НУ понимаю одну машину загрузить, но нафиг после прикрытия ломится на другие айпи в нете и ломится к ним уже не на 53 а на 80?
Вот это то мне и не понятно.
Да еще эта фигня как видно из куска лога - перемежается широковещательными запросами по арп/айпи.
Вот потому я и спросил что это. Жду вразумительного ответа, может кто сталкивался.
Еслиб мой кластер был не в ремонте - я бы наверное больше логов предоставил, но при таком потоке - ну никак одной машиной не обработать(да и софт у меня не для одной писан).
|
|
|
|
|
RE: Что это могло быть? - 2007-05-15 00:25:27.280000
|
|
|
BigIron
Сообщений: 898
Оценки: 0
Присоединился: 2007-05-13 18:53:43.593333
|
О, нашел занычку, забыл уже что есть еще местечко где логу кладет,сейчас посмотрю, скажу.
ДА, еще - правда, циферку перепутал, там похоже значение каких-то бит, режим не знакомый, это всеже icmp-8.
Так, короче счетчик последвательности по 255 плюсует, доходит как полагается и с нуля. ttl - 255 - обычно не ставят, если голова на месте!!! Идэшники с 0-65535 тоже кольцом.
Продолжительность мутоты где-то чуток более чем 1.5 часа, всего 709970 запросов icmp, и почти 6.000.000 вот тех вот!
Больше инфы дать не могу, лог здоровенный, 580 метров только по этому фуфлу! У меня модуль затыкается уже на 40 процентах, ограничения однако :( Даже не могу посчитать среднюю задержку(ее в конце считает - но вылетает еще до конца, мозгов в машине мало, а механизм лениво до писывать).
|
|
|
|
|
|
