Serhio Go Опубликовано 14 января, 2009 · Жалоба Доброе время суток всем! Кто-нибудь в курсе, что это может быть? Фрагмент логов ipcad. Легенда: Date Time SrcIP SrcPort DestIP DestPort Proto Packets Bytes --------------Фрагмент 1------------------ .... 2009-01-14 23:48:00 87.65.56.143 19991 ip1.ip1.ip1.ip1 57944 udp 1 126 2009-01-14 23:48:00 86.18.43.221 41020 ip1.ip1.ip1.ip1 57944 udp 1 131 2009-01-14 23:48:00 77.17.116.224 14663 ip1.ip1.ip1.ip1 57944 udp 2 306 2009-01-14 23:48:00 151.65.142.225 9150 ip1.ip1.ip1.ip1 57944 udp 2 305 2009-01-14 23:48:00 79.2.180.213 64224 ip1.ip1.ip1.ip1 57944 udp 1 131 2009-01-14 23:48:00 62.160.114.254 15458 ip1.ip1.ip1.ip1 57944 udp 2 305 2009-01-14 23:48:00 87.116.140.114 61243 ip1.ip1.ip1.ip1 57944 udp 1 134 2009-01-14 23:48:00 124.241.178.219 18915 ip1.ip1.ip1.ip1 57944 udp 1 129 2009-01-14 23:48:00 220.136.178.48 27569 ip1.ip1.ip1.ip1 57944 udp 2 306 2009-01-14 23:48:00 125.78.23.145 15137 ip1.ip1.ip1.ip1 57944 udp 2 306 2009-01-14 23:48:00 90.190.211.166 4171 ip1.ip1.ip1.ip1 57944 tcp 5 276 2009-01-14 23:48:00 95.71.15.123 1237 ip1.ip1.ip1.ip1 57944 tcp 5 276 2009-01-14 23:48:00 88.182.184.145 11209 ip1.ip1.ip1.ip1 57944 udp 1 126 2009-01-14 23:48:00 119.118.23.230 17393 ip1.ip1.ip1.ip1 57944 udp 1 126 2009-01-14 23:48:00 87.111.33.205 36962 ip1.ip1.ip1.ip1 57944 udp 1 131 2009-01-14 23:48:00 195.189.45.24 3422 ip1.ip1.ip1.ip1 57944 tcp 3 128 2009-01-14 23:48:00 87.241.90.3 17001 ip1.ip1.ip1.ip1 57944 udp 2 306 .... --------------End of Фрагмент 1------------------ --------------Фрагмент 2------------------ .... 2009-01-13 20:12:00 91.62.221.47 24359 ip2.ip2.ip2.ip2 27040 udp 1 309 2009-01-13 20:12:00 119.246.98.162 52186 ip2.ip2.ip2.ip2 27040 udp 1 309 2009-01-13 20:12:00 90.229.161.238 59692 ip2.ip2.ip2.ip2 27040 udp 1 309 2009-01-13 20:12:00 75.20.212.147 32102 ip2.ip2.ip2.ip2 27040 udp 1 309 2009-01-13 20:12:00 218.171.167.169 27235 ip2.ip2.ip2.ip2 27040 udp 1 300 2009-01-13 20:12:00 122.194.182.66 5844 ip2.ip2.ip2.ip2 27040 udp 2 180 2009-01-13 20:12:00 78.137.22.55 1196 ip2.ip2.ip2.ip2 27040 tcp 1 1480 2009-01-13 20:12:00 76.109.80.184 30363 ip2.ip2.ip2.ip2 27040 udp 1 309 2009-01-13 20:12:00 85.228.130.196 10762 ip2.ip2.ip2.ip2 27040 udp 1 131 2009-01-13 20:12:00 75.80.202.94 24102 ip2.ip2.ip2.ip2 27040 udp 1 309 2009-01-13 20:12:00 82.248.212.130 18245 ip2.ip2.ip2.ip2 27040 udp 1 300 2009-01-13 20:12:00 218.168.86.61 9242 ip2.ip2.ip2.ip2 27040 udp 1 126 2009-01-13 20:12:00 118.68.97.149 15381 ip2.ip2.ip2.ip2 27040 udp 1 309 ... --------------End of Фрагмент 2------------------ И таких фрагментов могу нарисовать сколько угодно. ipN.ipN.ipN.ipN - адреса наших клиентов. Трафик снимаем только идущий к клиенту, поэтому исходящего в логах нет. SrcPort и DestPort - бессистемный, обычно какой-нибудь мифический. Уникальных SrcIP на каждый ipN.ipN.ipN.ipN - от 1000 до 10000 за 2 минуты. Подавляющая масса пакетов - UDP, хотя проскакивают и TCP на те же порты (со стороны ipN.ipN.ipN.ipN). Уникальных пар сокетов до черта, и соответственно резко увеличилось количество flow-cache misses на бордере (NPE-G2) со всеми вытекающими (загрузка CPU в праймтайм за 90% при потреблении топового IP Input максимум 3-4%, то бишь все остальное - в прерываниях). Особенно грустно стало сразу после НГ. Внимание, вопрос. ЧТО ЭТО ЗА ХРЕНЬ? P2P какой-нибудь? Пора браться за противоослиное ружье? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 15 января, 2009 · Жалоба Может Skype? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 15 января, 2009 · Жалоба как то не похоже на скайп... новая вирусня? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 15 января, 2009 · Жалоба ipN.ipN.ipN.ipN - адреса наших клиентов. Трафик снимаем только идущий к клиенту, поэтому исходящего в логах нет.а клиентов помегабайтке тарифицируете? может флуд с целью отжима клиентуры? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 15 января, 2009 · Жалоба ipN.ipN.ipN.ipN - адреса наших клиентов. Трафик снимаем только идущий к клиенту, поэтому исходящего в логах нет.а клиентов помегабайтке тарифицируете? может флуд с целью отжима клиентуры? :) Часть клиентуры помегабайтно. Часть на анлиме.Насчет отжима - была такая мысль, если честно. Но соль в том, что трафик в мегабайтном выражении получается не сильно большой, при желании можно нагнать существенно больше. Чуть позже будет выборка по трафику, из которой станет понятно, какой сегмент клиентуры страдает этой фигней. 2 nuclearcat - не похоже оно на скайп. Повторяющихся SrcIP практически нет, не говоря уж о сокетах. 2 Nikolaicheg - может быть и так. Только вот вирусы, как правило, преследуют нынче сугубо определенные коммерческие цели. Если флуд - то на четко определенные "заказанные" адреса, а не нападение рандомом на пол-интернета; если спам - ... так это и не спам :). Попробую дожаться а)результатов выборки и б)вечера, чтобы поизучать трафик на бордере. Если это флуд снаружи - в ответ либо ничего не должно лететь, либо летит пачка icmp, как я себе представляю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mancubus Опубликовано 15 января, 2009 · Жалоба посмотри что внутри пакетов... что в payload лежит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 15 января, 2009 · Жалоба я бы с вероятностью 80% думал на торрент Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 15 января, 2009 · Жалоба я бы с вероятностью 80% думал на торрент разве торрент качает с помощью udp-протокола? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taelas Опубликовано 15 января, 2009 · Жалоба уже таки может: http://forum.utorrent.com/viewtopic.php?id=49813 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 15 января, 2009 · Жалоба я бы с вероятностью 80% думал на торрент разве торрент такими мелкими пакетами качает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 15 января, 2009 (изменено) · Жалоба Если всего несколько на адресов трафик, то наверно осел. Он по UDP работает, хотя и торрент, вроде, научился, и все запросы к другим клиентам идут по UDP (не только данные, служебная тоже, типа состояние очереди, всякая другая информация). TCP соединения только с сервервами. Изменено 15 января, 2009 пользователем SergeiK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 15 января, 2009 · Жалоба Если всего несколько на адресов трафик, то наверно осел. Цитата исходного сообщения ON Уникальных SrcIP на каждый ipN.ipN.ipN.ipN - от 1000 до 10000 за 2 минуты.Цитата исходного сообщения OFF Это попадает под понятие "несколько"? Вопрос безо всякого стеба. Для некоторых фанатов p2p и 1000 немного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 15 января, 2009 (изменено) · Жалоба Получил результаты выборки. Из 640 клиентов, попавших в условие ">300 уникальных SrcIP при постоянном DestPort и Proto=UDP в течение 2 минут" только 14 - не анлимщики. Подозрение на P2P подтверждаются, похоже. Сегодня продолжу изучать. Изменено 15 января, 2009 пользователем Serhio Go Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sbbr Опубликовано 15 января, 2009 (изменено) · Жалоба Похоже на DHT. p2p и ботнеты этим пользуются. http://en.wikipedia.org/wiki/Distributed_hash_table Изменено 15 января, 2009 пользователем sbbr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 15 января, 2009 · Жалоба я бы с вероятностью 80% думал на торрентразве торрент такими мелкими пакетами качает? торрент или оселпричем не факт, что качает, а может просто в очереди на раздачу стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 15 января, 2009 (изменено) · Жалоба Посмотрел в payload. Торрент, чтоб его... ------------------------------------------------------- ....... 22:27:52.061347 IP (tos 0x0, ttl 98, id 44848, offset 0, flags [none], proto: UDP (17), length: 129) 59.148.237.216.45631 > IP.IP.IP.IP.45050: UDP, length 101 0x0000: 4500 0081 af30 0000 6211 c822 3b94 edd8 E....0..b..";... 0x0010: IPIP IPIP b23f affa 006d e06c 6431 3a61 .....?...m.ld1:a 0x0020: 6432 3a69 6432 303a f7bb 5c5f 9082 8c80 d2:id20:..\_.... 0x0030: 5cd0 d167 \..g 22:27:52.062644 IP (tos 0x0, ttl 128, id 15221, offset 0, flags [none], proto: UDP (17), length: 146) IP.IP.IP.IP.45050 > 59.148.237.216.45631: UDP, length 118 0x0000: 4500 0092 3b75 0000 8011 1dcd IPIP IPIP E...;u.......... 0x0010: 3b94 edd8 affa b23f 007e 333b 6431 3a72 ;......?.~3;d1:r 0x0020: 6432 3a69 6432 303a a2c0 8aed 4148 d902 d2:id20:....AH.. 0x0030: 2fba 6962 /.ib ....... ------------------------------------------------------- Всем ответившим - спасибо (пошел за ружьем). Изменено 15 января, 2009 пользователем Serhio Go Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...