Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Вт Окт 16 2007 23:37 Заголовок сообщения: Поток левых пакетов ложит сеть |
|
|
У нас сетка около 200 компов. Построена на неуправляемых свичах (пока, к сожалению нет возможности перевести на управляемые). Периодически возникает такая проблема: на все компы приходят тысячи в секунду пакетов с адресами, не предназначенными этим компам. Например:
SourceIP: адрес в локальной сетке (не мой)
DestinationIP: адрес dns сервера провайдера
Протокол: DNS
при анализе пакета видно, что он предназначается для адсл модема провайдера.
или
SourceIP: адрес в локальной сетке (не мой)
DestinationIP: адрес в локальной сетке (не мой)
Протокол: TCP
Поток таких пакетов ложит всю сеть. Причём часто так получается, что пакеты идут, а источник вообще уже выключен.
Подскажите, пожалуйста, куда копать? Почему приходят пакеты мне не предназначенные, хотя свичи такого допускать вроде не должны (в массовом количестве, по крайней мере)? Почему такие пакеты вообще появляются, хотя источника в сети уже нет? |
|
Вернуться к началу |
|
|
GDimon
Зарегистрирован: 03.05.2007 Сообщения: 19
|
Добавлено: Ср Окт 17 2007 11:28 Заголовок сообщения: Поток левых пакетов ложит сеть |
|
|
Выложи то, что ты перехватываешь, то есть покажи хотя б кусок того, что тебе твой снифер выдаёт. |
|
Вернуться к началу |
|
|
Попавший Ламер
Зарегистрирован: 16.04.2003 Сообщения: 326
|
Добавлено: Ср Окт 17 2007 11:57 Заголовок сообщения: |
|
|
Наивный вопрос. ADSL подключение через PPPoE и модем бриджом? |
|
Вернуться к началу |
|
|
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Ср Окт 17 2007 17:24 Заголовок сообщения: Re: Поток левых пакетов ложит сеть |
|
|
Это то, что выдаёт wareshark о пакете. Таких пакетов было 14500/сек. Все пакеты одинаковые.
No. 26
Time 2007-10-15 13:13:09.954576
Source 192.168.124.136
Destination 192.168.124.183
Protocol TCP
Info 1823 > epmap [SYN] Seq=0 Len=0 MSS=1460
Frame 26 (62 bytes on wire, 62 bytes captured)
----Arrival Time: Oct 15, 2007 13:13:09.954576000
----[Time delta from previous captured frame: 0.000004000 seconds]
----[Time delta from previous displayed frame: 0.000004000 seconds]
----[Time since reference or first frame: 0.002044000 seconds]
----Frame Number: 26
----Frame Length: 62 bytes
----Capture Length: 62 bytes
----[Frame is marked: False]
----[Protocols in frame: eth:ip:tcp]
----[Coloring Rule Name: TCP SYN/FIN]
----[Coloring Rule String: tcp.flags & 0x02 || tcp.flags.fin == 1]
Ethernet II, Src: Micro-St_60:ed:d8 (00:19:db:60:ed:d, Dst: Elitegro_83:47:29 (00:14:2a:83:47:29)
----Destination: Elitegro_83:47:29 (00:14:2a:83:47:29)
--------Address: Elitegro_83:47:29 (00:14:2a:83:47:29)
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Source: Micro-St_60:ed:d8 (00:19:db:60:ed:d
--------Address: Micro-St_60:ed:d8 (00:19:db:60:ed:d
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Type: IP (0x0800)
Internet Protocol, Src: 192.168.124.136 (192.168.124.136), Dst: 192.168.124.183 (192.168.124.183)
----Version: 4
----Header length: 20 bytes
----Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
--------0000 00.. = Differentiated Services Codepoint: Default (0x00)
--------.... ..0. = ECN-Capable Transport (ECT): 0
--------.... ...0 = ECN-CE: 0
----Total Length: 48
----Identification: 0xd861 (55393)
----Flags: 0x04 (Don't Fragment)
--------0... = Reserved bit: Not set
--------.1.. = Don't fragment: Set
--------..0. = More fragments: Not set
----Fragment offset: 0
----Time to live: 128
----Protocol: TCP (0x06)
----Header checksum: 0xa7d5 [correct]
--------[Good: True]
--------[Bad : False]
----Source: 192.168.124.136 (192.168.124.136)
----Destination: 192.168.124.183 (192.168.124.183)
Transmission Control Protocol, Src Port: 1823 (1823), Dst Port: epmap (135), Seq: 0, Len: 0
----Source port: 1823 (1823)
----Destination port: epmap (135)
----Sequence number: 0 (relative sequence number)
----Header length: 28 bytes
----Flags: 0x02 (SYN)
--------0... .... = Congestion Window Reduced (CWR): Not set
--------.0.. .... = ECN-Echo: Not set
--------..0. .... = Urgent: Not set
--------...0 .... = Acknowledgment: Not set
--------.... 0... = Push: Not set
--------.... .0.. = Reset: Not set
--------.... ..1. = Syn: Set
--------.... ...0 = Fin: Not set
----Window size: 16384
----Checksum: 0x21b1 [correct]
--------[Good Checksum: True]
--------[Bad Checksum: False]
----Options: (8 bytes)
--------Maximum segment size: 1460 bytes
--------NOP
--------NOP
--------SACK permitted |
|
Вернуться к началу |
|
|
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Ср Окт 17 2007 17:27 Заголовок сообщения: |
|
|
Попавший Ламер писал(а): | Наивный вопрос. ADSL подключение через PPPoE и модем бриджом? |
В сетке есть разные провайдеры - у одних через VPN, у других через PPPoE. Бывает потоки пакетов, предназначенных разным модемам (один раз одному, другой раз другому), а бывает чо модемы вообще в пакетах не прослеживаются. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 17 2007 18:24 Заголовок сообщения: |
|
|
Ну и что за комп 192.168.124.136 ?
Не разбирались? |
|
Вернуться к началу |
|
|
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Ср Окт 17 2007 20:16 Заголовок сообщения: |
|
|
and3008 писал(а): | Ну и что за комп 192.168.124.136 ?
Не разбирались? |
В следуюший раз на месте этого IP-адреса может оказаться любой другой. Когда будет другая волна пакетов будет стоять другой адрес, потом третий и т.д. без всякой видимой системы. |
|
Вернуться к началу |
|
|
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Ср Окт 17 2007 20:57 Заголовок сообщения: |
|
|
Вот кстати, только что поймал:
No. 397587
Time 2007-10-17 20:21:54.393000
Source 64.12.24.77
Destination 91.149.183.25
Protocol AIM Buddylist
Info [TCP Retransmission] Offgoing Buddy: 148250826
Frame 397587 (102 bytes on wire, 102 bytes captured)
Arrival Time: Oct 17, 2007 20:21:54.393000000
----[Time delta from previous captured frame: 0.000003000 seconds]
----[Time delta from previous displayed frame: 0.000003000 seconds]
----[Time since reference or first frame: 40.614273000 seconds]
----Frame Number: 397587
----Frame Length: 102 bytes
----Capture Length: 102 bytes
----[Frame is marked: False]
----[Protocols in frame: eth:pppoes:ppp:ip:tcp:aim]
----[Coloring Rule Name: Bad TCP]
----[Coloring Rule String: tcp.analysis.flags]
Ethernet II, Src: EdimaxTe_5f:b7:2c (00:0e:2e:5f:b7:2c), Dst: BillionE_49:ef:0e (00:04:ed:49:ef:0e)
----Destination: BillionE_49:ef:0e (00:04:ed:49:ef:0e)
--------Address: BillionE_49:ef:0e (00:04:ed:49:ef:0e)
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Source: EdimaxTe_5f:b7:2c (00:0e:2e:5f:b7:2c)
--------Address: EdimaxTe_5f:b7:2c (00:0e:2e:5f:b7:2c)
--------.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
--------.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
----Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
----0001 .... = Version: 1
----.... 0001 = Type: 1
----Code: Session Data (0x00)
----Session ID: 0x0019
----Payload Length: 82
Point-to-Point Protocol
----Protocol: IP (0x0021)
Internet Protocol, Src: 64.12.24.77 (64.12.24.77), Dst: 91.149.183.25 (91.149.183.25)
----Version: 4
----Header length: 20 bytes
----Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
--------0000 00.. = Differentiated Services Codepoint: Default (0x00)
--------.... ..0. = ECN-Capable Transport (ECT): 0
--------.... ...0 = ECN-CE: 0
----Total Length: 80
----Identification: 0x0ffb (4091)
----Flags: 0x04 (Don't Fragment)
--------0... = Reserved bit: Not set
--------.1.. = Don't fragment: Set
--------..0. = More fragments: Not set
----Fragment offset: 0
----Time to live: 105
----Protocol: TCP (0x06)
----Header checksum: 0x96a5 [correct]
--------[Good: True]
--------[Bad : False]
----Source: 64.12.24.77 (64.12.24.77)
----Destination: 91.149.183.25 (91.149.183.25)
Transmission Control Protocol, Src Port: 5190 (5190), Dst Port: 19041 (19041), Seq: 0, Ack: 0, Len: 40
----Source port: 5190 (5190)
----Destination port: 19041 (19041)
----Sequence number: 0 (relative sequence number)
----[Next sequence number: 40 (relative sequence number)]
----Acknowledgement number: 0 (relative ack number)
----Header length: 20 bytes
----Flags: 0x18 (PSH, ACK)
--------0... .... = Congestion Window Reduced (CWR): Not set
--------.0.. .... = ECN-Echo: Not set
--------..0. .... = Urgent: Not set
--------...1 .... = Acknowledgment: Set
--------.... 1... = Push: Set
--------.... .0.. = Reset: Not set
--------.... ..0. = Syn: Not set
--------.... ...0 = Fin: Not set
----Window size: 16384
----Checksum: 0xcef4 [correct]
--------[Good Checksum: True]
--------[Bad Checksum: False]
----[SEQ/ACK analysis]
--------[TCP Analysis Flags]
------------[This frame is a (suspected) retransmission]
------------[The RTO for this segment was: 40.614273000 seconds]
------------[RTO based on delta from frame: 1]
----[PDU Size: 40]
AOL Instant Messenger
----Command Start: 0x2a
----Channel ID: SNAC Data (0x02)
----Sequence Number: 20266
----Data Field Length: 34
----FNAC: Family: AIM Buddylist (0x0003), Subtype: Offgoing Buddy (0x000c)
--------Family: AIM Buddylist (0x0003)
--------Subtype: Offgoing Buddy (0x000c)
--------FNAC Flags: 0x0000
------------.... .... .... ...0 = Followed By SNAC with related information: Not set
------------0... .... .... .... = Contains Version of Family this SNAC is in: Not set
--------FNAC ID: 0x95789b78
AIM Buddylist Service, Offgoing Buddy
----Buddy: 148250826
--------Buddyname len: 9
--------Buddy Name: 148250826
----Warning Level: 0
----TLV Count: 2
----TLV: User class
--------Value ID: User class (0x0001)
--------Length: 2
--------Value: 0x0001
------------.... .... .... .... .... .... .... ...1 = AOL Unconfirmed user flag: Set
------------.... .... .... .... .... .... .... ..0. = AOL Administrator flag: Not set
------------.... .... .... .... .... .... .... .0.. = AOL Staff User Flag: Not set
------------.... .... .... .... .... .... .... 0... = AOL commercial account flag: Not set
------------.... .... .... .... .... .... ...0 .... = ICQ non-commercial account flag: Not set
------------.... .... .... .... .... .... ..0. .... = AOL away status flag: Not set
------------.... .... .... .... .... .... .0.. .... = ICQ user sign: Not set
------------.... .... .... .... .... .... 0... .... = AOL wireless user: Not set
------------.... .... .... .... .... ...0 .... .... = Unknown bit: Not set
------------.... .... .... .... .... ..0. .... .... = Unknown bit: Not set
------------.... .... .... .... .... .0.. .... .... = Unknown bit: Not set
------------.... .... .... .... .... 0... .... .... = Unknown bit: Not set
----TLV: Available Message
--------Value ID: Available Message (0x001d)
--------Length: 0
--------Value |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 17 2007 23:20 Заголовок сообщения: |
|
|
Вы эта... Головой думать уже начинайте, да.
Адрес источника известен. Порт получателя тоже. Это порт 135. Пакетов много. Уверен, что это вирусная атака. Проводится попытка заразить комп или провести DoS-атаку.
Вместо того, чтобы разобраться кому в ВАШЕЙ сети принадлежить IP источника вы гордо заявляете что адрес может быть другой!
Ну и что, что другой? Мне от этого ни холодно, ни жарко. Это ваши сложности.
Второй случай с интернетовским IP-адресом. Там еще есть и MAC-адреса. На своих коммутаторах (надеюсь они у вас управляемые) посмотите на каком порту числится такой MAC. Вот оттуда и ищите.
А вообще говоря хотелось бы знать как вы к Интернету подключены. Какая топология сети, куда чего подключено и т.д. Без этого вряд ли кто поможет. |
|
Вернуться к началу |
|
|
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Ср Окт 17 2007 23:50 Заголовок сообщения: |
|
|
and3008 писал(а): | Вы эта... Головой думать уже начинайте, да.
Адрес источника известен. Порт получателя тоже. Это порт 135. Пакетов много. Уверен, что это вирусная атака. Проводится попытка заразить комп или провести DoS-атаку.
Вместо того, чтобы разобраться кому в ВАШЕЙ сети принадлежить IP источника вы гордо заявляете что адрес может быть другой!
Ну и что, что другой? Мне от этого ни холодно, ни жарко. Это ваши сложности.
Второй случай с интернетовским IP-адресом. Там еще есть и MAC-адреса. На своих коммутаторах (надеюсь они у вас управляемые) посмотите на каком порту числится такой MAC. Вот оттуда и ищите.
А вообще говоря хотелось бы знать как вы к Интернету подключены. Какая топология сети, куда чего подключено и т.д. Без этого вряд ли кто поможет. |
Сетка домашняя. В сети только неуправляемые свичи, компы и адсл-модемы (выход через VPN, PPPoE). Всё просто врублено в свитчи и свитчи соединены между собой. Топология "гирлянда" вроде называется. Адреса у нас 192.168.124.*.
Что касается пакетов - это действительно могут быть любые ип-адреса из сетки (или в пакете есть MAC адреса, принадлежащие машинам в сетке). Могут быть любые порты. Несколько компов ещё раньше проверялось - ничего там не было найдено. И причём тут гордость? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Окт 18 2007 07:36 Заголовок сообщения: |
|
|
Подключите точки подключения к сети Интернет к системам, которые обеспечат фильтрацию трафика. Сейчас это не делается, всю просто включено в сеть, заходи кто хошь, бери чё хошь...
После того как сеть облагородите, тогда и будем разбираться. Один старый начальник АСУ говаривал: Нельзя автоматизировать бардак, надо бардак сперва устранить. |
|
Вернуться к началу |
|
|
pantherb
Зарегистрирован: 16.10.2007 Сообщения: 7
|
Добавлено: Чт Окт 18 2007 08:39 Заголовок сообщения: |
|
|
and3008 писал(а): | Подключите точки подключения к сети Интернет к системам, которые обеспечат фильтрацию трафика. Сейчас это не делается, всю просто включено в сеть, заходи кто хошь, бери чё хошь...
После того как сеть облагородите, тогда и будем разбираться. Один старый начальник АСУ говаривал: Нельзя автоматизировать бардак, надо бардак сперва устранить. |
Мы пока думаем над покупкой управляемого оборудования, но думали поставить его где-то посередине сетки. Или лучше всё-таки поставить именно перед модемами? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Окт 18 2007 10:23 Заголовок сообщения: |
|
|
Ну как бы тебе это по-проще объяснить...
Вот ты хозяин большого государства. Тебя беспокоит, что ходят тут всякие, мешают работать. Надо купить устройства, и поставить их там, чтобы они фильтровали нужное.
И вот теперь вы думаете где эти устройства поставить. На границе государства или в самом его центре?
Вопрос не простой. Если выше гос-во а-ля Россия и прут к ней всякие в основном по суше, значит надо ставить девайсы на границе.
А если вы а-ля государтво на острове и только самолетом к вам можно долететь, то наверно такой девайс надо ставить в аэропорту.
Это я все к тому, чтобы вы сами ум включили и думали сами. Правильный выбор зависит от того, какая у вас топология сети. Без анализа этой топологии любой совет будет наверняка неверный. |
|
Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005 Сообщения: 311
|
Добавлено: Пт Окт 19 2007 00:06 Заголовок сообщения: |
|
|
Как я понял, у pantherb домашняя сеть, по которой люди в игрушки играют, а в интернет каждый лазит со своего личного ADSL модема.
pantherb:
1. модем обычно можно употребить для фильтрации входящего трафика;
2. перепишите все MAC адреса в сети — узнаете, кто враг народа
3. разбейте вашу сеть на осмысленные части. |
|
Вернуться к началу |
|
|
Попавший Ламер
Зарегистрирован: 16.04.2003 Сообщения: 326
|
Добавлено: Пт Окт 19 2007 14:54 Заголовок сообщения: |
|
|
Я почему про модемы спрашивал - такое бывает, очень часто, когда PPPoE подключение устанавливается на компьютере. Обычно, это пропадает если поставить роутеры (типа D-Link D-300/500T). А когда модем бриджом достаточно одного олуха с вирусом\криво настроенным соединением у одного из провайдеров, чтоб его трафиком забить все.
Я встречал случаи, когда DHCP сервер раздавал кому-то адреса. То есть была настроена сеть, а потом пришли орлы от прова и воткнули модем в свитч. Там тоже много веселого трафика гуляло в сети |
|
Вернуться к началу |
|
|
|