Jump to content
Калькуляторы

Странный трафик Что так гадит?

Доброе время суток всем!

 

Кто-нибудь в курсе, что это может быть?

 

Фрагмент логов ipcad.

 

Легенда:

Date Time SrcIP SrcPort DestIP DestPort Proto Packets Bytes

 

--------------Фрагмент 1------------------

....

2009-01-14 23:48:00 87.65.56.143 19991 ip1.ip1.ip1.ip1 57944 udp 1 126

2009-01-14 23:48:00 86.18.43.221 41020 ip1.ip1.ip1.ip1 57944 udp 1 131

2009-01-14 23:48:00 77.17.116.224 14663 ip1.ip1.ip1.ip1 57944 udp 2 306

2009-01-14 23:48:00 151.65.142.225 9150 ip1.ip1.ip1.ip1 57944 udp 2 305

2009-01-14 23:48:00 79.2.180.213 64224 ip1.ip1.ip1.ip1 57944 udp 1 131

2009-01-14 23:48:00 62.160.114.254 15458 ip1.ip1.ip1.ip1 57944 udp 2 305

2009-01-14 23:48:00 87.116.140.114 61243 ip1.ip1.ip1.ip1 57944 udp 1 134

2009-01-14 23:48:00 124.241.178.219 18915 ip1.ip1.ip1.ip1 57944 udp 1 129

2009-01-14 23:48:00 220.136.178.48 27569 ip1.ip1.ip1.ip1 57944 udp 2 306

2009-01-14 23:48:00 125.78.23.145 15137 ip1.ip1.ip1.ip1 57944 udp 2 306

2009-01-14 23:48:00 90.190.211.166 4171 ip1.ip1.ip1.ip1 57944 tcp 5 276

2009-01-14 23:48:00 95.71.15.123 1237 ip1.ip1.ip1.ip1 57944 tcp 5 276

2009-01-14 23:48:00 88.182.184.145 11209 ip1.ip1.ip1.ip1 57944 udp 1 126

2009-01-14 23:48:00 119.118.23.230 17393 ip1.ip1.ip1.ip1 57944 udp 1 126

2009-01-14 23:48:00 87.111.33.205 36962 ip1.ip1.ip1.ip1 57944 udp 1 131

2009-01-14 23:48:00 195.189.45.24 3422 ip1.ip1.ip1.ip1 57944 tcp 3 128

2009-01-14 23:48:00 87.241.90.3 17001 ip1.ip1.ip1.ip1 57944 udp 2 306

....

--------------End of Фрагмент 1------------------

 

 

 

--------------Фрагмент 2------------------

....

2009-01-13 20:12:00 91.62.221.47 24359 ip2.ip2.ip2.ip2 27040 udp 1 309

2009-01-13 20:12:00 119.246.98.162 52186 ip2.ip2.ip2.ip2 27040 udp 1 309

2009-01-13 20:12:00 90.229.161.238 59692 ip2.ip2.ip2.ip2 27040 udp 1 309

2009-01-13 20:12:00 75.20.212.147 32102 ip2.ip2.ip2.ip2 27040 udp 1 309

2009-01-13 20:12:00 218.171.167.169 27235 ip2.ip2.ip2.ip2 27040 udp 1 300

2009-01-13 20:12:00 122.194.182.66 5844 ip2.ip2.ip2.ip2 27040 udp 2 180

2009-01-13 20:12:00 78.137.22.55 1196 ip2.ip2.ip2.ip2 27040 tcp 1 1480

2009-01-13 20:12:00 76.109.80.184 30363 ip2.ip2.ip2.ip2 27040 udp 1 309

2009-01-13 20:12:00 85.228.130.196 10762 ip2.ip2.ip2.ip2 27040 udp 1 131

2009-01-13 20:12:00 75.80.202.94 24102 ip2.ip2.ip2.ip2 27040 udp 1 309

2009-01-13 20:12:00 82.248.212.130 18245 ip2.ip2.ip2.ip2 27040 udp 1 300

2009-01-13 20:12:00 218.168.86.61 9242 ip2.ip2.ip2.ip2 27040 udp 1 126

2009-01-13 20:12:00 118.68.97.149 15381 ip2.ip2.ip2.ip2 27040 udp 1 309

...

--------------End of Фрагмент 2------------------

 

И таких фрагментов могу нарисовать сколько угодно.

ipN.ipN.ipN.ipN - адреса наших клиентов. Трафик снимаем только идущий к клиенту, поэтому исходящего в логах нет.

SrcPort и DestPort - бессистемный, обычно какой-нибудь мифический.

Уникальных SrcIP на каждый ipN.ipN.ipN.ipN - от 1000 до 10000 за 2 минуты.

Подавляющая масса пакетов - UDP, хотя проскакивают и TCP на те же порты (со стороны ipN.ipN.ipN.ipN).

Уникальных пар сокетов до черта, и соответственно резко увеличилось количество flow-cache misses на бордере (NPE-G2) со всеми вытекающими (загрузка CPU в праймтайм за 90% при потреблении топового IP Input максимум 3-4%, то бишь все остальное - в прерываниях).

Особенно грустно стало сразу после НГ.

 

Внимание, вопрос.

ЧТО ЭТО ЗА ХРЕНЬ?

P2P какой-нибудь? Пора браться за противоослиное ружье?

 

Share this post


Link to post
Share on other sites
ipN.ipN.ipN.ipN - адреса наших клиентов. Трафик снимаем только идущий к клиенту, поэтому исходящего в логах нет.
а клиентов помегабайтке тарифицируете? может флуд с целью отжима клиентуры? :)

 

Share this post


Link to post
Share on other sites
ipN.ipN.ipN.ipN - адреса наших клиентов. Трафик снимаем только идущий к клиенту, поэтому исходящего в логах нет.
а клиентов помегабайтке тарифицируете? может флуд с целью отжима клиентуры? :)

Часть клиентуры помегабайтно. Часть на анлиме.

Насчет отжима - была такая мысль, если честно. Но соль в том, что трафик в мегабайтном выражении получается не сильно большой, при желании можно нагнать существенно больше.

Чуть позже будет выборка по трафику, из которой станет понятно, какой сегмент клиентуры страдает этой фигней.

2 nuclearcat - не похоже оно на скайп. Повторяющихся SrcIP практически нет, не говоря уж о сокетах.

2 Nikolaicheg - может быть и так. Только вот вирусы, как правило, преследуют нынче сугубо определенные коммерческие цели. Если флуд - то на четко определенные "заказанные" адреса, а не нападение рандомом на пол-интернета; если спам - ... так это и не спам :).

Попробую дожаться а)результатов выборки и б)вечера, чтобы поизучать трафик на бордере. Если это флуд снаружи - в ответ либо ничего не должно лететь, либо летит пачка icmp, как я себе представляю.

Share this post


Link to post
Share on other sites

посмотри что внутри пакетов... что в payload лежит.

Share this post


Link to post
Share on other sites

я бы с вероятностью 80% думал на торрент

разве торрент качает с помощью udp-протокола?

Share this post


Link to post
Share on other sites
я бы с вероятностью 80% думал на торрент

разве торрент такими мелкими пакетами качает?

Share this post


Link to post
Share on other sites

Если всего несколько на адресов трафик, то наверно осел. Он по UDP работает, хотя и торрент, вроде, научился, и все запросы к другим клиентам идут по UDP (не только данные, служебная тоже, типа состояние очереди, всякая другая информация). TCP соединения только с сервервами.

Edited by SergeiK

Share this post


Link to post
Share on other sites
Если всего несколько на адресов трафик, то наверно осел.

 

Цитата исходного сообщения ON

Уникальных SrcIP на каждый ipN.ipN.ipN.ipN - от 1000 до 10000 за 2 минуты.
Цитата исходного сообщения OFF

 

Это попадает под понятие "несколько"?

Вопрос безо всякого стеба. Для некоторых фанатов p2p и 1000 немного.

 

Share this post


Link to post
Share on other sites

Получил результаты выборки.

Из 640 клиентов, попавших в условие ">300 уникальных SrcIP при постоянном DestPort и Proto=UDP в течение 2 минут" только 14 - не анлимщики. Подозрение на P2P подтверждаются, похоже. Сегодня продолжу изучать.

Edited by Serhio Go

Share this post


Link to post
Share on other sites
я бы с вероятностью 80% думал на торрент
разве торрент такими мелкими пакетами качает?

торрент или осел

причем не факт, что качает, а может просто в очереди на раздачу стоит.

Share this post


Link to post
Share on other sites

Посмотрел в payload.

 

Торрент, чтоб его...

 

-------------------------------------------------------

.......

22:27:52.061347 IP (tos 0x0, ttl 98, id 44848, offset 0, flags [none], proto: UDP (17), length: 129) 59.148.237.216.45631 > IP.IP.IP.IP.45050: UDP, length 101

0x0000: 4500 0081 af30 0000 6211 c822 3b94 edd8 E....0..b..";...

0x0010: IPIP IPIP b23f affa 006d e06c 6431 3a61 .....?...m.ld1:a

0x0020: 6432 3a69 6432 303a f7bb 5c5f 9082 8c80 d2:id20:..\_....

0x0030: 5cd0 d167 \..g

22:27:52.062644 IP (tos 0x0, ttl 128, id 15221, offset 0, flags [none], proto: UDP (17), length: 146) IP.IP.IP.IP.45050 > 59.148.237.216.45631: UDP, length 118

0x0000: 4500 0092 3b75 0000 8011 1dcd IPIP IPIP E...;u..........

0x0010: 3b94 edd8 affa b23f 007e 333b 6431 3a72 ;......?.~3;d1:r

0x0020: 6432 3a69 6432 303a a2c0 8aed 4148 d902 d2:id20:....AH..

0x0030: 2fba 6962 /.ib

.......

-------------------------------------------------------

 

 

Всем ответившим - спасибо (пошел за ружьем).

Edited by Serhio Go

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this