Главная » Форум » Gentoo Linux » Общие вопросы

"левый' трафик"

Alexy1982331 6 ноября, 2010 - 21:39

Доброго времени суток.
Пару дней назад на wan порту появился какой-то не понятный трафик , типа :

┌67.212.77.51:https > 2 159 -PA- eth0 │
│└217.117.79.68:4909 = 0 0 ---- eth0 │
│┌194.158.61.166:https > 16 11069 -PA- eth0 │
│└217.117.79.68:3200 = 0 0 ---- eth0 │
│┌pp-193-8.partypoker.com:https > 12 2106 --A- eth0 │
│└217.117.79.68:4335 = 0 0 ---- eth0 │
│┌host.172.231.23.62.rev.coltfranc:8018 > 4 236 -PA- eth0 │
│└217.117.79.68:3958 = 0 0 ---- eth0 │
│┌77.87.178.130:26002 > 10 3690 -PA- eth0 │
│└217.117.79.68:1102 = 0 0 ---- eth0 │
│┌66.212.242.35:6724 > 1 77 -PA- eth0 │
│└217.117.79.68:1958 = 0 0 ---- eth0 │
┌connect.srv:1944 > 73 42743 --A- eth0 │
│└wimax-client.yota.ru:18074 > 28 1378 CLOSED eth0 │

, забивающий мне канал на 5-8 мбит
217.117.79.68 - это тот левый айпишник к которому идёт трафик ,переодически меняется на 217.117.79.130
connect.srv - собственно ip вана )
правила типа - iptables -A INPUT -i eth0 -p tcp -s 0/0 -d 217.117.79.68 -j DROP не имеют никакого эффекта.

моя машина - eth1 192.168.0.254 , eth0 217.117.79.XX в логах резолвится как connect.srv ,на eth0 висит нат + фаер , 217.117.79.68 где-то не далеко от меня , а 217.117.79.130 вообще не понятно .... ,
PING 217.117.79.130 (217.117.79.130) 56(84) bytes of data.
From 217.117.79.65: icmp_seq=1 Redirect Host(New nexthop: 217.117.79.130). и на этом пинг просто умирает до нажатия ctrl+c .
217.117.79.0 - подсеть провайдера
217.117.79.65 - шлюз провайдера
00:12:80:2C:94:1A - мак шлюза
00:0E:0C:B9:5F:77 - мак 217.117.79.65

Это пакеты которые приходят ко мне на eth0
Ethernet________________________________________________________.
| 00:12:80:2C:94:1A->00:0E:0C:B9:5F:77 type:0x0800 |
|_______________________________________________________________|
IP______________________________________________________________.
|version| ihl | tos | totlen |
|___4___|___5___|____0x00=0_____|__________0x03C8=968___________|
| id |r|D|M| offsetfrag |
|__________0x1450=5200__________|0|1|0|________0x0000=0_________|
| ttl | protocol | checksum |
|___0x72=114____|____0x06=6_____|____________0xC787_____________|
| source |
|_________________________77.87.179.71__________________________|
| destination |
|_________________________217.117.79.68_________________________|
TCP_____________________________________________________________.
| source port | destination port |
|_________0x6592=26002__________|__________0x0EE7=3815__________|
| seqnum |
|_____________________0xC896BF99=3365322649_____________________|
| acknum |
|_____________________0x0B8B210B=193667339______________________|
| doff |r|r|r|r|C|E|U|A|P|R|S|F| window |
|___5___|0|0|0|0|0|0|0|1|1|0|0|0|_________0xFB65=64357__________|
| checksum | urgptr |
|_________0x5DBC=23996__________|___________0x0000=0____________|

Недавно ещё и gre ко мне с 217.117.79.68 стучался , но перестал.....

tcpdump -ni eth0 host 217.117.79.68 -c 25

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:30:39.997153 IP 91.211.96.15.443 > 217.117.79.68.3130: Flags [P.], seq 1767272963:1767273261, ack 4071453296, win 64681, length 298
09:30:39.999098 IP 93.191.193.6.443 > 217.117.79.68.4937: Flags [.], ack 3444972850, win 7504, length 0
09:30:40.004193 IP 84.233.144.63.443 > 217.117.79.68.2359: Flags [.], ack 416846606, win 7504, length 0
09:30:40.007736 IP 77.87.178.130.26002 > 217.117.79.68.1102: Flags [P.], seq 2317408417:2317408651, ack 3220796736, win 64343, length 234
09:30:40.012992 IP 66.212.241.210.4440 > 217.117.79.68.3354: Flags [P.], seq 1100620319:1100620761, ack 2629395429, win 49640, length 442
09:30:40.023153 IP 66.212.241.210.4440 > 217.117.79.68.3354: Flags [P.], seq 442:777, ack 1, win 49640, length 335
09:30:40.024688 IP 62.23.231.171.8018 > 217.117.79.68.3997: Flags [P.], seq 3235981434:3235981442, ack 262247787, win 65032, length 8
09:30:40.029686 IP 91.211.96.25.443 > 217.117.79.68.1402: Flags [P.], seq 3345256109:3345256466, ack 1802150078, win 65413, length 357
09:30:40.037440 IP 217.168.162.209.443 > 217.117.79.68.2023: Flags [P.], seq 397095052:397096415, ack 1171744985, win 11739, length 1363
09:30:40.043501 IP 77.87.178.74.26002 > 217.117.79.68.1411: Flags [P.], seq 2578838904:2578839218, ack 1956580248, win 63966, length 314
09:30:40.067101 IP 91.211.96.58.443 > 217.117.79.68.1773: Flags [P.], seq 9921594:9922367, ack 2333263988, win 65111, length 773
09:30:40.075192 IP 213.52.253.139.4095 > 217.117.79.68.3049: Flags [P.], seq 3615097637:3615097677, ack 3337010646, win 65507, length 40
09:30:40.080824 IP 91.211.96.16.443 > 217.117.79.68.1489: Flags [P.], seq 2372569014:2372569963, ack 3466640446, win 64369, length 949
09:30:40.088485 IP 66.212.245.191.80 > 217.117.79.68.2923: Flags [P.], seq 3011811624:3011811741, ack 1814421262, win 21989, length 117
09:30:40.090799 IP 66.212.235.26.443 > 217.117.79.68.1298: Flags [.], seq 821807999:821809459, ack 4041011401, win 65535, length 1460
09:30:40.095871 IP 66.212.245.191.80 > 217.117.79.68.4872: Flags [P.], seq 3930579863:3930580218, ack 2341730204, win 22404, length 355
09:30:40.103145 IP 194.158.61.166.443 > 217.117.79.68.3493: Flags [P.], seq 2040567198:2040567267, ack 2717703627, win 58638, length 69
09:30:40.103756 IP 88.81.149.32.8018 > 217.117.79.68.4649: Flags [P.], seq 3060161823:3060161833, ack 2632117844, win 64651, length 10
09:30:40.104269 IP 77.87.179.65.26002 > 217.117.79.68.3580: Flags [P.], seq 3597561595:3597561877, ack 181793934, win 64490, length 282
09:30:40.104292 IP 77.87.179.65.26002 > 217.117.79.68.1083: Flags [P.], seq 2961367157:2961367487, ack 4218150753, win 64488, length 330
09:30:40.104296 IP 77.87.179.66.26002 > 217.117.79.68.1131: Flags [P.], seq 3610285061:3610285375, ack 2064533349, win 64449, length 314
09:30:40.106876 IP 66.212.249.153.7997 > 217.117.79.68.4029: Flags [P.], seq 2107047613:2107047662, ack 3247317300, win 65535, length 49
09:30:40.107396 IP 77.87.178.66.443 > 217.117.79.68.1790: Flags [P.], seq 4058177542:4058177824, ack 495624267, win 17446, length 282
09:30:40.107416 IP 77.87.178.64.26002 > 217.117.79.68.3745: Flags [P.], seq 1380499460:1380499774, ack 1577877545, win 64438, length 314
09:30:40.107708 IP 77.87.178.130.26002 > 217.117.79.68.3413: Flags [P.], seq 114686550:114686832, ack 4086536712, win 64481, length 282

Подскажите что это может быть, и куда копать вообще ??? очень напрягает т.к. оплата за нэт ведётся по в среднем потреблённому трафику за месяц .

‹ [РЕШЕНО] Настройка site-config.jam для Boost tmpfs и общесистемные темпы ›
»

Цитата: iptables -A INPUT -i

Автор Pinkbyte, дата создания 7 ноября, 2010 - 16:20.
Цитата:
iptables -A INPUT -i eth0 -p tcp -s 0/0 -d 217.117.79.68 -j DROP

Цитата:
INPUT

Может все таки так?

iptables -A OUTPUT p tcp -d 217.117.79.68 -j DROP

Нейтральность - высшее достижение сознания!

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".