LINUX.ORG.RU
ФорумAdmin

Запросы от сервера на неизвестные порты

 , ,


0

2

Всем привет и доброго вечера.

mikrotik>NetFlow>ubuntu-server>ntop

Софт на сервере: deluge, tinyproxy, openssh-client->proxy, samba, apache2, ntop, dnscrypt. Все либо из офф репозитория.

На момент установки сервера, порт форвадинг был настроен только на порт п2п клиента. Что исключает вмешательство извне. Только если я сам что-то поставил.

Решил проанализировать трафик с помощью ntop, и удивился, когда увидел, что сервер коннектится к разным хостам на ВСЕ порты из диапазона 1-1024.

Только пару из них инициировал я. Все остальное - неизвестно что.

Общение с каждым сервером весит в пределах 1-2Кб. Анализировал пакет снифером, не похоже на шифрованную передачу.

Часть из списка портов(ntop):

108 113 123 130 136 148 157 189 220 221 228 270 274 281 317 348 360 368 412 423 455 470 475 479 488 501 514 590 603 604 627 641 642 645 657 658 679 680 723 738 781 784 812 830 877 878 885 888 921 929 938 940 949 951 955 965 970 979 992

А теперь самое интересное. Настройка огнестены из микротик.

18    chain=forward action=accept protocol=tcp dst-port=80,443,221,21,22,993 
      log=no log-prefix="" 

19    chain=forward action=accept protocol=udp dst-port=80,443,221,21,22,993 
      log=no log-prefix="" 

20    chain=forward action=drop protocol=udp dst-port=1-1024 log=no 
      log-prefix="" 

21    chain=forward action=drop protocol=tcp dst-port=1-1024 log=no 
      log-prefix=""
 

Но эти коннекты не прекратились. Имеется в виду, что нтоп показывает трафик, и они помечены как успешные коннеты. Хотя должны были бы дропаться фаером.

Есть, интересная закономерность. Все хосты на которые происходят запросы держат стабильный коннект на порт п2п клиента на моём сервере. Может это как то соотносится с включенным шифрованием на п2п клиенте, и нтоп неправильно анализирует трафик?

у меня только 2 объяснения. 1. ntop врёт. 2. я чего то не знаю.

Посему вопрос. Что это, как лечить.



Последнее исправление: dzirtt (всего исправлений: 2)
Ответ на: комментарий от kas501

Ну вот я тоже так думаю. Но как, каааак?)

dzirtt
() автор топика

Общение с каждым сервером весит в пределах 1-2Кб.

Дампы в студию.

Настройка огнестены из микротик

Конфиг неполный. Может быть у тебя там выше стоит пропуск всех пакетов, относящихся к установленным соединениям.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev
0000: 45 00 01 4e 88 2c 00 00  40 11 a9 b2 c0 a8 01 29  E..N.,.. @......)
0010: 72 f5 12 fa 2e b9 02 9a  01 3a f6 84 64 32 3a 69  r....... .:..d2:i
0020: 70 36 3a 72 f5 12 fa 02  9a 31 3a 72 64 32 3a 69  p6:r.... .1:rd2:i
0030: 64 32 30 3a 0b b1 be f6  c6 b8 be 3c 49 2d 01 86  d20:.... ...<I-..
0040: 4a a6 f7 d2 81 86 bf 2e  35 3a 6e 6f 64 65 73 32  J....... 5:nodes2
0050: 30 38 3a 0b b1 d7 0a 51  77 82 9f 80 61 9f f0 ca  08:....Q w...a...
0060: 07 63 c5 2d 7f 59 36 3d  c3 9a 88 34 1b 0b b1 f6  .c.-.Y6= ...4....
0070: cf 66 3d f9 de 16 1f 29  41 40 63 2a ac ef 7e 12  .f=....) A@c*..~.
0080: cb 79 83 d6 7f 1a e1 0b  b1 f1 34 ce b0 e5 e4 7e  .y...... ..4....~
0090: 99 81 51 b3 c8 ca 36 09  fc d5 70 6b 83 89 84 42  ..Q...6. ..pk...B
00a0: fd 0b b1 cc e6 77 77 4d  7a 56 4b be a0 b5 f4 b2  .....wwM zVK.....
00b0: 3c be 85 3c 62 d5 41 14  02 30 6d 0b b1 c5 a2 32  <..<b.A. .0m....2
00c0: bf 4e 28 76 ad 96 5b fd  f6 60 56 46 b0 b6 d7 6d  .N(v..[. .`VF...m
00d0: b9 20 43 c7 2d 0b b1 e6  fe d9 f7 30 cd 3e de 78  . C.-... ...0.>.x
00e0: a1 d7 fa c2 15 03 c0 3d  ae 4d ee 3a 65 70 39 0b  .......= .M.:ep9.
00f0: b1 e4 e2 e0 17 0f c4 7b  c2 d6 52 66 7e 67 8a 39  .......{ ..Rf~g.9
0100: d4 3a 39 91 ff b5 98 8c  19 0b b1 f6 db 3c f7 21  .:9..... .....<.!
0110: c5 e0 27 7c 30 6b 68 56  0d d6 5c 18 c0 05 a5 0f  ..'|0khV ..\.....
0120: 53 9d b7 35 3a 74 6f 6b  65 6e 34 3a f4 7e 71 6a  S..5:tok en4:.~qj
0130: 65 31 3a 74 38 3a 31 30  33 31 36 39 32 31 31 3a  e1:t8:10 3169211:
0140: 76 34 3a 4c 54 00 10 31  3a 79 31 3a 72 65        v4:LT..1 :y1:re

У всех одна сигнатура.

dzirtt
() автор топика
Ответ на: комментарий от dzirtt

Это скорее всего BitTorrent DHT (который в свою очередь использует формат Bencode). Нужно смотреть полный дамп обмена, к тому же одного семпла маловато будет.

И еще было бы неплохо если бы ты привел список IP:порт (где порт < 1024), на которые ломится торрент-клиент.

edigaryev ★★★★★
()
Ответ на: комментарий от dzirtt

nc time.nist.gov 13
Сделал.

Если тебе удалось получить с этого сервера время, то твой межсетевой экран настроен неправильно.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

Вы меня недооцениваете.)) Так как утилита отказалась работать, почитал ман, оказалось 13 это порт. А потом я просто добавил 13 порт в исключения на время проверки. Сразу бы сказали, что вы хотели проверить.)

dzirtt
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.