Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Поток левых пакетов ложит сеть

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Вт Окт 16 2007 23:37    Заголовок сообщения: Поток левых пакетов ложит сеть Ответить с цитатой

У нас сетка около 200 компов. Построена на неуправляемых свичах (пока, к сожалению нет возможности перевести на управляемые). Периодически возникает такая проблема: на все компы приходят тысячи в секунду пакетов с адресами, не предназначенными этим компам. Например:

SourceIP: адрес в локальной сетке (не мой)
DestinationIP: адрес dns сервера провайдера
Протокол: DNS
при анализе пакета видно, что он предназначается для адсл модема провайдера.

или

SourceIP: адрес в локальной сетке (не мой)
DestinationIP: адрес в локальной сетке (не мой)
Протокол: TCP

Поток таких пакетов ложит всю сеть. Причём часто так получается, что пакеты идут, а источник вообще уже выключен.

Подскажите, пожалуйста, куда копать? Почему приходят пакеты мне не предназначенные, хотя свичи такого допускать вроде не должны (в массовом количестве, по крайней мере)? Почему такие пакеты вообще появляются, хотя источника в сети уже нет?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
GDimon



Зарегистрирован: 03.05.2007
Сообщения: 19

СообщениеДобавлено: Ср Окт 17 2007 11:28    Заголовок сообщения: Поток левых пакетов ложит сеть Ответить с цитатой

Выложи то, что ты перехватываешь, то есть покажи хотя б кусок того, что тебе твой снифер выдаёт.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Попавший Ламер



Зарегистрирован: 16.04.2003
Сообщения: 326

СообщениеДобавлено: Ср Окт 17 2007 11:57    Заголовок сообщения: Ответить с цитатой

Наивный вопрос. ADSL подключение через PPPoE и модем бриджом?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Ср Окт 17 2007 17:24    Заголовок сообщения: Re: Поток левых пакетов ложит сеть Ответить с цитатой

Это то, что выдаёт wareshark о пакете. Таких пакетов было 14500/сек. Все пакеты одинаковые.

No. 26
Time 2007-10-15 13:13:09.954576
Source 192.168.124.136
Destination 192.168.124.183
Protocol TCP
Info 1823 > epmap [SYN] Seq=0 Len=0 MSS=1460

Frame 26 (62 bytes on wire, 62 bytes captured)
----Arrival Time: Oct 15, 2007 13:13:09.954576000
----[Time delta from previous captured frame: 0.000004000 seconds]
----[Time delta from previous displayed frame: 0.000004000 seconds]
----[Time since reference or first frame: 0.002044000 seconds]
----Frame Number: 26
----Frame Length: 62 bytes
----Capture Length: 62 bytes
----[Frame is marked: False]
----[Protocols in frame: eth:ip:tcp]
----[Coloring Rule Name: TCP SYN/FIN]
----[Coloring Rule String: tcp.flags & 0x02 || tcp.flags.fin == 1]
Ethernet II, Src: Micro-St_60:ed:d8 (00:19:db:60:ed:dCool, Dst: Elitegro_83:47:29 (00:14:2a:83:47:29)
----Destination: Elitegro_83:47:29 (00:14:2a:83:47:29)
--------Address: Elitegro_83:47:29 (00:14:2a:83:47:29)
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Source: Micro-St_60:ed:d8 (00:19:db:60:ed:dCool
--------Address: Micro-St_60:ed:d8 (00:19:db:60:ed:dCool
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Type: IP (0x0800)
Internet Protocol, Src: 192.168.124.136 (192.168.124.136), Dst: 192.168.124.183 (192.168.124.183)
----Version: 4
----Header length: 20 bytes
----Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
--------0000 00.. = Differentiated Services Codepoint: Default (0x00)
--------.... ..0. = ECN-Capable Transport (ECT): 0
--------.... ...0 = ECN-CE: 0
----Total Length: 48
----Identification: 0xd861 (55393)
----Flags: 0x04 (Don't Fragment)
--------0... = Reserved bit: Not set
--------.1.. = Don't fragment: Set
--------..0. = More fragments: Not set
----Fragment offset: 0
----Time to live: 128
----Protocol: TCP (0x06)
----Header checksum: 0xa7d5 [correct]
--------[Good: True]
--------[Bad : False]
----Source: 192.168.124.136 (192.168.124.136)
----Destination: 192.168.124.183 (192.168.124.183)
Transmission Control Protocol, Src Port: 1823 (1823), Dst Port: epmap (135), Seq: 0, Len: 0
----Source port: 1823 (1823)
----Destination port: epmap (135)
----Sequence number: 0 (relative sequence number)
----Header length: 28 bytes
----Flags: 0x02 (SYN)
--------0... .... = Congestion Window Reduced (CWR): Not set
--------.0.. .... = ECN-Echo: Not set
--------..0. .... = Urgent: Not set
--------...0 .... = Acknowledgment: Not set
--------.... 0... = Push: Not set
--------.... .0.. = Reset: Not set
--------.... ..1. = Syn: Set
--------.... ...0 = Fin: Not set
----Window size: 16384
----Checksum: 0x21b1 [correct]
--------[Good Checksum: True]
--------[Bad Checksum: False]
----Options: (8 bytes)
--------Maximum segment size: 1460 bytes
--------NOP
--------NOP
--------SACK permitted
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Ср Окт 17 2007 17:27    Заголовок сообщения: Ответить с цитатой

Попавший Ламер писал(а):
Наивный вопрос. ADSL подключение через PPPoE и модем бриджом?


В сетке есть разные провайдеры - у одних через VPN, у других через PPPoE. Бывает потоки пакетов, предназначенных разным модемам (один раз одному, другой раз другому), а бывает чо модемы вообще в пакетах не прослеживаются.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Ср Окт 17 2007 18:24    Заголовок сообщения: Ответить с цитатой

Ну и что за комп 192.168.124.136 ?
Не разбирались?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Ср Окт 17 2007 20:16    Заголовок сообщения: Ответить с цитатой

and3008 писал(а):
Ну и что за комп 192.168.124.136 ?
Не разбирались?


В следуюший раз на месте этого IP-адреса может оказаться любой другой. Когда будет другая волна пакетов будет стоять другой адрес, потом третий и т.д. без всякой видимой системы.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Ср Окт 17 2007 20:57    Заголовок сообщения: Ответить с цитатой

Вот кстати, только что поймал:

No. 397587
Time 2007-10-17 20:21:54.393000
Source 64.12.24.77
Destination 91.149.183.25
Protocol AIM Buddylist
Info [TCP Retransmission] Offgoing Buddy: 148250826


Frame 397587 (102 bytes on wire, 102 bytes captured)
Arrival Time: Oct 17, 2007 20:21:54.393000000
----[Time delta from previous captured frame: 0.000003000 seconds]
----[Time delta from previous displayed frame: 0.000003000 seconds]
----[Time since reference or first frame: 40.614273000 seconds]
----Frame Number: 397587
----Frame Length: 102 bytes
----Capture Length: 102 bytes
----[Frame is marked: False]
----[Protocols in frame: eth:pppoes:ppp:ip:tcp:aim]
----[Coloring Rule Name: Bad TCP]
----[Coloring Rule String: tcp.analysis.flags]
Ethernet II, Src: EdimaxTe_5f:b7:2c (00:0e:2e:5f:b7:2c), Dst: BillionE_49:ef:0e (00:04:ed:49:ef:0e)
----Destination: BillionE_49:ef:0e (00:04:ed:49:ef:0e)
--------Address: BillionE_49:ef:0e (00:04:ed:49:ef:0e)
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Source: EdimaxTe_5f:b7:2c (00:0e:2e:5f:b7:2c)
--------Address: EdimaxTe_5f:b7:2c (00:0e:2e:5f:b7:2c)
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
----0001 .... = Version: 1
----.... 0001 = Type: 1
----Code: Session Data (0x00)
----Session ID: 0x0019
----Payload Length: 82
Point-to-Point Protocol
----Protocol: IP (0x0021)
Internet Protocol, Src: 64.12.24.77 (64.12.24.77), Dst: 91.149.183.25 (91.149.183.25)
----Version: 4
----Header length: 20 bytes
----Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
--------0000 00.. = Differentiated Services Codepoint: Default (0x00)
--------.... ..0. = ECN-Capable Transport (ECT): 0
--------.... ...0 = ECN-CE: 0
----Total Length: 80
----Identification: 0x0ffb (4091)
----Flags: 0x04 (Don't Fragment)
--------0... = Reserved bit: Not set
--------.1.. = Don't fragment: Set
--------..0. = More fragments: Not set
----Fragment offset: 0
----Time to live: 105
----Protocol: TCP (0x06)
----Header checksum: 0x96a5 [correct]
--------[Good: True]
--------[Bad : False]
----Source: 64.12.24.77 (64.12.24.77)
----Destination: 91.149.183.25 (91.149.183.25)
Transmission Control Protocol, Src Port: 5190 (5190), Dst Port: 19041 (19041), Seq: 0, Ack: 0, Len: 40
----Source port: 5190 (5190)
----Destination port: 19041 (19041)
----Sequence number: 0 (relative sequence number)
----[Next sequence number: 40 (relative sequence number)]
----Acknowledgement number: 0 (relative ack number)
----Header length: 20 bytes
----Flags: 0x18 (PSH, ACK)
--------0... .... = Congestion Window Reduced (CWR): Not set
--------.0.. .... = ECN-Echo: Not set
--------..0. .... = Urgent: Not set
--------...1 .... = Acknowledgment: Set
--------.... 1... = Push: Set
--------.... .0.. = Reset: Not set
--------.... ..0. = Syn: Not set
--------.... ...0 = Fin: Not set
----Window size: 16384
----Checksum: 0xcef4 [correct]
--------[Good Checksum: True]
--------[Bad Checksum: False]
----[SEQ/ACK analysis]
--------[TCP Analysis Flags]
------------[This frame is a (suspected) retransmission]
------------[The RTO for this segment was: 40.614273000 seconds]
------------[RTO based on delta from frame: 1]
----[PDU Size: 40]
AOL Instant Messenger
----Command Start: 0x2a
----Channel ID: SNAC Data (0x02)
----Sequence Number: 20266
----Data Field Length: 34
----FNAC: Family: AIM Buddylist (0x0003), Subtype: Offgoing Buddy (0x000c)
--------Family: AIM Buddylist (0x0003)
--------Subtype: Offgoing Buddy (0x000c)
--------FNAC Flags: 0x0000
------------.... .... .... ...0 = Followed By SNAC with related information: Not set
------------0... .... .... .... = Contains Version of Family this SNAC is in: Not set
--------FNAC ID: 0x95789b78
AIM Buddylist Service, Offgoing Buddy
----Buddy: 148250826
--------Buddyname len: 9
--------Buddy Name: 148250826
----Warning Level: 0
----TLV Count: 2
----TLV: User class
--------Value ID: User class (0x0001)
--------Length: 2
--------Value: 0x0001
------------.... .... .... .... .... .... .... ...1 = AOL Unconfirmed user flag: Set
------------.... .... .... .... .... .... .... ..0. = AOL Administrator flag: Not set
------------.... .... .... .... .... .... .... .0.. = AOL Staff User Flag: Not set
------------.... .... .... .... .... .... .... 0... = AOL commercial account flag: Not set
------------.... .... .... .... .... .... ...0 .... = ICQ non-commercial account flag: Not set
------------.... .... .... .... .... .... ..0. .... = AOL away status flag: Not set
------------.... .... .... .... .... .... .0.. .... = ICQ user sign: Not set
------------.... .... .... .... .... .... 0... .... = AOL wireless user: Not set
------------.... .... .... .... .... ...0 .... .... = Unknown bit: Not set
------------.... .... .... .... .... ..0. .... .... = Unknown bit: Not set
------------.... .... .... .... .... .0.. .... .... = Unknown bit: Not set
------------.... .... .... .... .... 0... .... .... = Unknown bit: Not set
----TLV: Available Message
--------Value ID: Available Message (0x001d)
--------Length: 0
--------Value
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Ср Окт 17 2007 23:20    Заголовок сообщения: Ответить с цитатой

Вы эта... Головой думать уже начинайте, да.

Адрес источника известен. Порт получателя тоже. Это порт 135. Пакетов много. Уверен, что это вирусная атака. Проводится попытка заразить комп или провести DoS-атаку.

Вместо того, чтобы разобраться кому в ВАШЕЙ сети принадлежить IP источника вы гордо заявляете что адрес может быть другой!

Ну и что, что другой? Мне от этого ни холодно, ни жарко. Это ваши сложности.

Второй случай с интернетовским IP-адресом. Там еще есть и MAC-адреса. На своих коммутаторах (надеюсь они у вас управляемые) посмотите на каком порту числится такой MAC. Вот оттуда и ищите.

А вообще говоря хотелось бы знать как вы к Интернету подключены. Какая топология сети, куда чего подключено и т.д. Без этого вряд ли кто поможет.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Ср Окт 17 2007 23:50    Заголовок сообщения: Ответить с цитатой

and3008 писал(а):
Вы эта... Головой думать уже начинайте, да.

Адрес источника известен. Порт получателя тоже. Это порт 135. Пакетов много. Уверен, что это вирусная атака. Проводится попытка заразить комп или провести DoS-атаку.

Вместо того, чтобы разобраться кому в ВАШЕЙ сети принадлежить IP источника вы гордо заявляете что адрес может быть другой!

Ну и что, что другой? Мне от этого ни холодно, ни жарко. Это ваши сложности.

Второй случай с интернетовским IP-адресом. Там еще есть и MAC-адреса. На своих коммутаторах (надеюсь они у вас управляемые) посмотите на каком порту числится такой MAC. Вот оттуда и ищите.

А вообще говоря хотелось бы знать как вы к Интернету подключены. Какая топология сети, куда чего подключено и т.д. Без этого вряд ли кто поможет.


Сетка домашняя. В сети только неуправляемые свичи, компы и адсл-модемы (выход через VPN, PPPoE). Всё просто врублено в свитчи и свитчи соединены между собой. Топология "гирлянда" вроде называется. Адреса у нас 192.168.124.*.

Что касается пакетов - это действительно могут быть любые ип-адреса из сетки (или в пакете есть MAC адреса, принадлежащие машинам в сетке). Могут быть любые порты. Несколько компов ещё раньше проверялось - ничего там не было найдено. И причём тут гордость?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Окт 18 2007 07:36    Заголовок сообщения: Ответить с цитатой

Подключите точки подключения к сети Интернет к системам, которые обеспечат фильтрацию трафика. Сейчас это не делается, всю просто включено в сеть, заходи кто хошь, бери чё хошь...

После того как сеть облагородите, тогда и будем разбираться. Один старый начальник АСУ говаривал: Нельзя автоматизировать бардак, надо бардак сперва устранить.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pantherb



Зарегистрирован: 16.10.2007
Сообщения: 7

СообщениеДобавлено: Чт Окт 18 2007 08:39    Заголовок сообщения: Ответить с цитатой

and3008 писал(а):
Подключите точки подключения к сети Интернет к системам, которые обеспечат фильтрацию трафика. Сейчас это не делается, всю просто включено в сеть, заходи кто хошь, бери чё хошь...

После того как сеть облагородите, тогда и будем разбираться. Один старый начальник АСУ говаривал: Нельзя автоматизировать бардак, надо бардак сперва устранить.


Мы пока думаем над покупкой управляемого оборудования, но думали поставить его где-то посередине сетки. Или лучше всё-таки поставить именно перед модемами?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Окт 18 2007 10:23    Заголовок сообщения: Ответить с цитатой

Ну как бы тебе это по-проще объяснить...

Вот ты хозяин большого государства. Тебя беспокоит, что ходят тут всякие, мешают работать. Надо купить устройства, и поставить их там, чтобы они фильтровали нужное.
И вот теперь вы думаете где эти устройства поставить. На границе государства или в самом его центре?

Вопрос не простой. Если выше гос-во а-ля Россия и прут к ней всякие в основном по суше, значит надо ставить девайсы на границе.
А если вы а-ля государтво на острове и только самолетом к вам можно долететь, то наверно такой девайс надо ставить в аэропорту.

Это я все к тому, чтобы вы сами ум включили и думали сами. Правильный выбор зависит от того, какая у вас топология сети. Без анализа этой топологии любой совет будет наверняка неверный.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
C37



Зарегистрирован: 09.03.2005
Сообщения: 311

СообщениеДобавлено: Пт Окт 19 2007 00:06    Заголовок сообщения: Ответить с цитатой

Как я понял, у pantherb домашняя сеть, по которой люди в игрушки играют, а в интернет каждый лазит со своего личного ADSL модема.

pantherb:
1. модем обычно можно употребить для фильтрации входящего трафика;
2. перепишите все MAC адреса в сети — узнаете, кто враг народа Smile
3. разбейте вашу сеть на осмысленные части.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Попавший Ламер



Зарегистрирован: 16.04.2003
Сообщения: 326

СообщениеДобавлено: Пт Окт 19 2007 14:54    Заголовок сообщения: Ответить с цитатой

Я почему про модемы спрашивал - такое бывает, очень часто, когда PPPoE подключение устанавливается на компьютере. Обычно, это пропадает если поставить роутеры (типа D-Link D-300/500T). А когда модем бриджом достаточно одного олуха с вирусом\криво настроенным соединением у одного из провайдеров, чтоб его трафиком забить все.
Я встречал случаи, когда DHCP сервер раздавал кому-то адреса. То есть была настроена сеть, а потом пришли орлы от прова и воткнули модем в свитч. Там тоже много веселого трафика гуляло в сети Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...