LINUX.ORG.RU
решено ФорумAdmin

Зловред на OpenWRT? Странные UDP-запросы на ntp-серверы

 ,


0

1

Во вкладке Realtime connections (.../admin/status/realtime/connections/) у меня показаны нормальные соединения

Network	Протокол	Source	Destination	Transfer
IPV4	UNKNOWN	10.11.0.105:0	all-systems.mcast.net:0	0.00 B (0 Pkts.)
IPV4	UDP	ubuntu.lan:44003	мой VPN:1194	14.74 MB (117495 Pkts.)
IPV4	UDP	ubuntu.lan:17500	192.168.1.255:17500	16.06 KB (94 Pkts.)
IPV4	TCP	ubuntu.lan:45586	OpenWrt.lan:80	780.00 B (3 Pkts.)

но с периодичностью в минуту возникают такие, которые я отправлять не могу:

IPV4	UDP	мой IP:46841	ns.davydkovo.net:123	76.00 B (1 Pkts.)
IPV4	UDP	мой IP:57450	ntp2.ivlan.net:123	76.00 B (1 Pkts.)
IPV4	UDP	мой IP:37466	95.213.132.254:123	76.00 B (1 Pkts.)
IPV4	UDP	мой IP:40809	ntp1.ivlan.net:123	76.00 B (1 Pkts.)

Ещё там бывают запросы на DNS-резолвер (OpenDNS, который прописан).

Чуть раньше я наблюдал перманентный пинг к гуглу (173.194.122.245:443) - в netstat на моём компе таких запросов не было, да и всё обёрнуто в VPN, как вы поняли. Были ICMP-запросы к моему роутеру. Я прочитал, что это вроде port knocking и закрыл прохождение всех таких пакетов.

А вот откуда берётся вышеприведённое? Неужели у меня в роутере завёлся зловред? Что может посылать такие пакеты?

Apropo: 

Router Model	TP-Link TL-WR741N/ND v1 
Firmware Version	 OpenWrt Attitude Adjustment 12.09 / LuCI 0.11.1 Release (0.11.1) 
Kernel Version	3.3.8

PC: Ubuntu 14.10

З.Ы. Не пинайте, я полный ламер и с теорией не знаком, если чо.



Последнее исправление: hardkorova (всего исправлений: 1)
Metasploit
OpenWRT и вэб-интерфейс из под юзера

похожие запросы у меня тоже имеются:

192.168.0.100:47371	ppp91-122-42-73.pppoe.avangarddsl.ru:123	76.00 B (1 Пакетов.)
IPV4	UDP	192.168.0.100:51032	ground.corbina.net:123	76.00 B (1 Пакетов.)
IPV4	UDP	192.168.0.100:47681	n2.time1.regnets.ru:123	76.00 B (1 Пакетов.)
IPV4	UDP	192.168.0.100:35954	ntp2.tdc.fi:123	76.00 B (1 Пакетов.)
IPV4	UDP	192.168.0.100:42700	ppp91-122-42-73.pppoe.avangarddsl.ru:123	76.00 B (1 Пакетов.)
IPV4	UDP	192.168.0.100:40127	ntp2.tdc.fi:123	76.00 B (1 Пакетов.)

Кастаните, как разберетесь в чем дело.

sehellion ★★★★★
()

Всё оказалось просто. Это сам OpenWRT делает запросы на тайм-серверы. Просто по ссылкам типа 0.openwrt.pool.ntp.org отдаётся список подходящих сайтов, сами они тайм-серверами не являются. Порт 123 является признаком ntp-сервера.

Я отключил синхронизацию времени и запросы пропали. После включения количество соединений резко выросло, затем всё стало по-прежнему.

Я думаю, тема исчерпана.

hardkorova
() автор топика
Ответ на: комментарий от hardkorova

Пример таких свежих запросов:

ns.davydkovo.net:123	76.00 B (1 Pkts.)
IPV4	UDP	5.145.209.57:49327	ground.corbina.net:123	76.00 B (1 Pkts.)
IPV4	UNKNOWN	10.11.0.105:0	all-systems.mcast.net:0	0.00 B (0 Pkts.)
IPV4	UDP	5.145.209.57:41994	n2.time1.regnets.ru:123	76.00 B (1 Pkts.)
IPV4	UDP	5.145.209.57:37448	78.140.251.2:123	76.00 B (1 Pkts.)
IPV4	UDP	5.145.209.57:48265	78.140.251.2:123	76.00 B (1 Pkts.)
IPV4	UDP	5.145.209.57:49777	ground.corbina.net:123	76.00 B (1 Pkts.)
IPV4	UDP	5.145.209.57:43475	ns.davydkovo.net:123	76.00 B (1 Pkts.)
IPV4	UDP	5.145.209.57:38000	n2.time1.regnets.ru:123
hardkorova
() автор топика

Сорри за офф-топик... Именно чтобы не возникало таких вопросов, придуман systemd-timesyncd.

Shadow ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Metasploit
Admin
OpenWRT и вэб-интерфейс из под юзера