Левый трафик

0

0

Доброго времени суток.

Локальная сеть на несколько компов, включены два - мой (Linux
Debian, IP 192.168.0.2) и еще один (Win XP, IP 192.168.0.3,
ws003). Никто ничего не качает, однако в сети присутствует трафик (мигает хаб). Запускаю tcpdump:
7:14:39.391041 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:40.146324 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:40.893266 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:41.644358 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:47.528576 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:48.274010 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:49.025131 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:49.780370 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:50.527302 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:14:51.278357 IP ws003.ltsp.netbios-ns > 192.168.0.255.netbios-ns
: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Таким вот образом долбится этот комп минут по 10-20, затем
перерыв, затем опять начинает. Что это? Может вирус? Или е
ще какая-нибудь бяка? Или это нормально
(раньше такого не было)? (1)

Дальше делаю так:
# nmap -sS 192.168.0.3

Starting nmap 3.81 ( http://www.insecure.org/nmap/ )
at 2006-02-26 17:32 MSK
Interesting ports on ws003.ltsp (192.168.0.3):
(The 1659 ports scanned but not shown below are
in state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS

Nmap finished: 1 IP address (1 host up) scanned in 0.645 seconds

что еще за NFS на WinXP? По остальным портам все нормально? (2)

Далее:
# nmap -sS localhost

Starting nmap 3.81 ( http://www.insecure.org/nmap/ )
at 2006-02-26 00:24 MSK
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1653 ports scanned but not shown below
are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
694/tcp open unknown
949/tcp open unknown
2049/tcp open nfs

Nmap finished: 1 IP address (1 host up) scanned
in 0.407 seconds

ssh установлен
25 порт открыт, хотя почтовик настроен доставлять
только локальную почту
111 порт - это надо?
113 ?
139 - наверно для самбы нужно? (самба есть)
445 - самба?
631 - ?
694, 949 - ???
2049 - nfs установлен

Прокомментируйте плиз нет ли чего лишнего/
подозрительного? (3)
Прошу не бить за возможно присутствующие
детские вопросы.

wbr, mousehouse

Ссылка

←	PPPoE сервер под Linux

IPFW

→

орать броадкастом на всю сетку - это для винды абсолютно нормально ;) а по поводу твоих сервисов - nmap на 127.0.0.1 тут мало информативен, покажи лучше netstat -atnup - он покажет реально ли это у тебя слушает на внешнем интерфейсе или только на лупбэке (а заодно и просветишься на вопрос что на каких портах слушает ;) ). потом дальше может быть чего посоветуем .

sasha999 ★★★★
(26.02.06 19:38:34 MSK)

Это в Мастдае мастер броузер работает походу дела... сканит нет ли каких еще мастдаев в сети

anonymous
(26.02.06 20:26:56 MSK)

Ответ на: комментарий от sasha999 26.02.06 19:38:34 MSK

# netstat -atnup
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 3062/smbd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2611/portmap
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 3017/inetd
tcp 0 0 0.0.0.0:947 0.0.0.0:* LISTEN 3309/rpc.statd
tcp 0 0 0.0.0.0:692 0.0.0.0:* LISTEN 3057/rpc.mountd
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 2926/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3007/exim4
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 3062/smbd
tcp6 0 0 :::22 :::* LISTEN 3069/sshd
udp 0 0 0.0.0.0:32768 0.0.0.0:* -
udp 0 0 0.0.0.0:2049 0.0.0.0:* -
udp 0 0 192.168.0.2:137 0.0.0.0:* 3060/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 3060/nmbd
udp 0 0 192.168.0.2:138 0.0.0.0:* 3060/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 3060/nmbd
udp 0 0 0.0.0.0:941 0.0.0.0:* 3309/rpc.statd
udp 0 0 0.0.0.0:944 0.0.0.0:* 3309/rpc.statd
udp 0 0 0.0.0.0:177 0.0.0.0:* 3380/kdm
udp 0 0 0.0.0.0:689 0.0.0.0:* 3057/rpc.mountd
udp 0 0 0.0.0.0:67 0.0.0.0:* 3017/inetd
udp 0 0 0.0.0.0:67 0.0.0.0:* 2941/dhcpd
udp 0 0 0.0.0.0:69 0.0.0.0:* 3017/inetd
udp 0 0 0.0.0.0:111 0.0.0.0:* 2611/portmap
udp 0 0 0.0.0.0:631 0.0.0.0:* 2926/cupsd

-это в отключенном от Интернета состоянии. (dhcp, cups, самба
нужны для локалки) Кстати а что это exim на 3007 висит, он же
настроен на доставкутолько локальной почты?

tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN - -а это кто такой?
Больше ничего лишнего нет?

PS: Откуда взялся NFS на оффтопике??
# nmap -sS 192.168.0.3
Interesting ports on ws003.ltsp (192.168.0.3):
(The 1659 ports scanned but not shown below are in
state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS

Mousehouse ★
(26.02.06 20:33:50 MSK) автор топика

Ответ на: комментарий от anonymous 26.02.06 20:26:56 MSK

>Это в Мастдае мастер броузер работает походу дела... сканит нет
ли каких еще мастдаев в сети

У него IP фиксированный. С фикс. IP он может быть мастер броузером?

Mousehouse ★
(26.02.06 20:36:40 MSK) автор топика

Ссылка

Ответ на: комментарий от Mousehouse 26.02.06 20:33:50 MSK

>PS: Откуда взялся NFS на оффтопике??
># nmap -sS 192.168.0.3
>Interesting ports on ws003.ltsp (192.168.0.3):
>(The 1659 ports scanned but not shown below are in
>state: closed)
>PORT STATE SERVICE
>135/tcp open msrpc
>139/tcp open netbios-ssn
>445/tcp open microsoft-ds
>1025/tcp open NFS-or-IIS

_NFS-or-IIS_

открой переводчик и переведи слово "or"

Maclaud
(26.02.06 21:51:50 MSK)

Ответ на: комментарий от Maclaud 26.02.06 21:51:50 MSK

Что такое IIS? Не веб-сервер же

Mousehouse ★
(26.02.06 23:04:05 MSK) автор топика

Ответ на: комментарий от Mousehouse 26.02.06 20:33:50 MSK

exim у тебя и так висит на лупбэке - все нормально. 0.0.0.0:32769 - это тоже к nfsd относится (кстати, тебе действительно nfs нужен ?) а общее реэюме - если ты с этим зоопарком хочешь в инет лазить или не уверен что тебя из локалки не подсидят - бегом iptables настраивать !

sasha999 ★★★★
(27.02.06 07:04:44 MSK)

Ссылка

Ответ на: комментарий от Mousehouse 26.02.06 23:04:05 MSK

> Что такое IIS? Не веб-сервер же

IIS - веб-сервер (виндовый). Только вот nmap мог ощибиться и определить на как IIS.

samson ★★
(27.02.06 18:56:40 MSK)

Ответ на: комментарий от samson 27.02.06 18:56:40 MSK

sasha999, спасибо. Уже бегу (http://www.linux.org.ru/view-message.jsp?msgid=1287181)
А нфс у меня для LTSP был, правда щас им не пользуюсь, 
наверно надо отрубить...
Кстати уточню чтоб уж вопросов не оставалось - так кого 
nmap мог принять за IIS? (система WinXP)

Mousehouse ★
(27.02.06 23:53:25 MSK) автор топика

Ответ на: комментарий от Mousehouse 27.02.06 23:53:25 MSK

>Кстати уточню чтоб уж вопросов не оставалось - так кого
>nmap мог принять за IIS? (система WinXP)

Ну если есть доступ к машине то посмотри на netstat -anb
скорее всего это RPC висит

Maclaud
(28.02.06 02:22:40 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PPPoE сервер под Linux

Admin

IPFW

→

Похожие темы