LINUX.ORG.RU
решено ФорумAdmin

зачем они это делают?

 ,


0

2

Запустил трансмиссию, и посыпалось вот такое:

14:01:09.612271 IP6 2001:0:5ef5:79fd:4d4:3213:4f89:bf93 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 5670, length 12
14:01:09.612648 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fd:4d4:3213:4f89:bf93: ICMP6, echo reply, seq 5670, length 12
14:01:09.829085 IP6 2001:0:5ef5:79fd:1c43:3bbb:fd7b:5fbf > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 37096, length 12
14:01:09.829389 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fd:1c43:3bbb:fd7b:5fbf: ICMP6, echo reply, seq 37096, length 12
14:01:09.877676 IP6 2001:0:9d38:6ab8:6d:2eca:4f3c:ea12 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 51971, length 12
14:01:09.877965 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:6ab8:6d:2eca:4f3c:ea12: ICMP6, echo reply, seq 51971, length 12
14:01:10.047323 IP6 2001:0:9d38:6abd:3801:3bad:72f7:b3a3 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 33592, length 12
14:01:10.047693 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:6abd:3801:3bad:72f7:b3a3: ICMP6, echo reply, seq 33592, length 12
14:01:10.076115 IP6 2001:0:9d38:90d7:8f2:fb9e:2bdc:58ca > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 5761, length 12
14:01:10.076469 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:8f2:fb9e:2bdc:58ca: ICMP6, echo reply, seq 5761, length 12
14:01:10.110850 IP6 2001:0:9d38:90d7:20b0:856:43d4:f3be > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 900, length 12
14:01:10.111154 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:20b0:856:43d4:f3be: ICMP6, echo reply, seq 900, length 12
14:01:10.167706 IP6 2001:0:9d38:90d7:3c3c:409:d160:aac > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 12699, length 12
14:01:10.168090 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:3c3c:409:d160:aac: ICMP6, echo reply, seq 12699, length 12
14:01:10.239655 IP6 2001:0:9d38:90d7:3009:16ab:aea7:2149 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 44816, length 12
14:01:10.240055 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:3009:16ab:aea7:2149: ICMP6, echo reply, seq 44816, length 12
14:01:10.253447 IP6 2001:0:9d38:6abd:20ce:c55f:ab0b:c3f6 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 16797, length 12
14:01:10.253815 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:6abd:20ce:c55f:ab0b:c3f6: ICMP6, echo reply, seq 16797, length 12
14:01:10.373520 IP6 2001:0:5ef5:79fd:a1:2cc5:fad3:53ed > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 37540, length 12
14:01:10.373832 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fd:a1:2cc5:fad3:53ed: ICMP6, echo reply, seq 37540, length 12
14:01:10.396665 IP6 2001:0:9d38:90d7:2c5f:970a:6ce1:38c0 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 54870, length 12
14:01:10.397015 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:2c5f:970a:6ce1:38c0: ICMP6, echo reply, seq 54870, length 12
14:01:10.551287 IP6 2001:0:9d38:90d7:386c:f204:4f86:2cbf > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 55582, length 12
14:01:10.551586 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:386c:f204:4f86:2cbf: ICMP6, echo reply, seq 55582, length 12
14:01:10.772965 IP6 2001:0:9d38:90d7:205d:c83d:a1eb:1fc0 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 27561, length 12
14:01:10.773347 IP6 [мой_секретный_ipv6_адрес] > 2001:0:9d38:90d7:205d:c83d:a1eb:1fc0: ICMP6, echo reply, seq 27561, length 12
14:01:10.774392 IP6 2001:0:5ef5:79fb:17:2971:e05d:5ae0 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 8324, length 12
14:01:10.774666 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fb:17:2971:e05d:5ae0: ICMP6, echo reply, seq 8324, length 12
14:01:10.857009 IP6 2001:0:5ef5:79fb:3463:2f85:b096:98bf > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 35141, length 12
14:01:10.857299 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fb:3463:2f85:b096:98bf: ICMP6, echo reply, seq 35141, length 12
14:01:11.264542 IP6 2001:0:5ef5:79fb:1889:d342:4d25:a3a5 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 7384, length 12
14:01:11.264838 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fb:1889:d342:4d25:a3a5: ICMP6, echo reply, seq 7384, length 12
14:01:11.336563 IP6 2001:0:5ef5:79fd:875:791:ae5d:df27 > [мой_секретный_ipv6_адрес]: ICMP6, echo request, seq 37687, length 12
14:01:11.336916 IP6 [мой_секретный_ipv6_адрес] > 2001:0:5ef5:79fd:875:791:ae5d:df27: ICMP6, echo reply, seq 37687, length 12

я так понимаю это из-за dht, а 2001:0 - это вроде бы тередо. но зачем они меня пингуют?

★★★★★

Последнее исправление: Rost (всего исправлений: 1)
debian vlan4 маршрут до pptp сетей
Удалить все ipv6 адреса с интерфейса
Ответ на: комментарий от Turbid

но почему другие не тыкают, а только тередо?

и к слову, в ipv4 за 10 минут ни одного пинга не прилетело. подозрительно как-то :)

Rost ★★★★★
() автор топика

но почему другие не тыкают, а только тередо?

Только им понравился ваш IP.
На вкус и цвет, как говорится...

ArcFi
()

просто думаю заблочить это дело в iptables на роутере, лишние записи в conntrack создают лишнюю нагрзуку на и без того слабый проц.

а если заблочу, то они обидятся и перестанут со мной общаться по udp/tcp? :) конечно я могу и сам проверить, но вдруг тут есть люди которые уже шарят в этом.

Rost ★★★★★
() автор топика

Отключи ICMP, оно тебе не нужно. 90% людей вообще за натом и никогда не ответят, поэтому на ICMP рассчитывают только самые упоротые сервисы. Короче, в данной ситуации точно не нужно. Я хороший человек, поэтому я молча дропаю ICMP пакеты.

anonymous
()
Ответ на: комментарий от Rost

просто думаю заблочить это дело в iptables на роутере, лишние записи в conntrack создают лишнюю нагрзуку на и без того слабый проц.

А если проверить нагрузку?
Ведь она может оказаться на уровне ~0,1%.

ArcFi
()
Ответ на: комментарий от anonymous

по поводу упоротых, ты похоже прав, бро. гугление по этому поводу, вывело на особенность работы клиента uTorrent.

осталось только высянить, какие негативные последствия даст блокировка всего этого непотребства. пока в качестве временной меры, загнал в raw таблицу все icmp от 2001:0/32. ночью буду дальше ковырять :)

Rost ★★★★★
() автор топика
Ответ на: комментарий от ArcFi

если бы. при большом pps/conntrack очень сильно грузится проц. лишняя 1000 conntrack на 100мбитах в моем случае +30% cpu.

Rost ★★★★★
() автор топика
Последнее исправление: Rost (всего исправлений: 1)
Ответ на: комментарий от Rost

лишняя 1000 conntrack на 100мбитах в моем случае +30% cpu.

Тогда смысл убить этот трафик действительно есть, учитывая, что дефолтный таймаут равен 30 секундам и, судя по логу, таблица наполняется со скоростью 10 хостов в секунду.

ArcFi
()
Ответ на: комментарий от Harald

но ведь с IPv6 NAT теперь не нужен

Почему не нужен?

i-rinat ★★★★★
()
Ответ на: комментарий от anonymous

Отключи ICMP, оно тебе не нужно. 90% людей вообще за натом и никогда не ответят, поэтому на ICMP рассчитывают только самые упоротые сервисы. Короче, в данной ситуации точно не нужно.

И сломай mtu discovery. Анонимус такой анонимус...

Я хороший человек, поэтому я молча дропаю ICMP пакеты.

Хороший человек - не профессия, тебя в настройку сетей пускать нельзя.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Что такое mtu discovery и зачем оно нужно?
И если это нечто связанное с MTU, то зачем часто это опрашивать, неужели MTU так часто меняется?

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

Что такое mtu discovery и зачем оно нужно?

Механизм автоподбора оптимального размера mtu для сессии, использует ICMP

И если это нечто связанное с MTU, то зачем часто это опрашивать, неужели MTU так часто меняется?

Пакет на своём пути от твоего компа до сервера может проходить множество разных физических сред и туннелей, с разными MTU. И если посередине есть роутер с отключенным криворуким админом ICMP и далее в каком либо направлении встретится туннель например вместо согласования mtu он начнёт пакеты реджектить или терять. Выглядит как недоступность или непрогруз элементов на сайтах за этим кривым узлом. (Большим посонам чур меня не бить, я предельно упрощённо объясняю).

PS. К топику это всё вообще не относится. Просто анонимус мало того что дал вредный совет, он ещё и абсолютно не в тему. Классический звук в бочку, короче.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

и далее в каком либо направлении встретится туннель например вместо согласования mtu

И как часто такое согласование необходимо?

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

И как часто такое согласование необходимо?

Каждый раз как понадобится. You never know...

тут подробности с картинками

Фкрадцы - ICMP суть необходимый для нормального функционирования интернета протокол. Блокировать его полностью нельзя, это идиотский поступок равный саботажу. Можно ручками фильтровать отдельные ненужные тебе пакеты, типа echo replay, но нужно чётко понимать зачем это делать (IMHO совершенно незачем).

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от anonymous

Что-то неубедительно.

По ссылке сходи и убедись.

Jameson ★★★★★
()
Ответ на: комментарий от anonymous

Позорище, ICMP (англ. Internet Control Message Protocol — протокол межсетевых управляющих сообщений[1]) — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных, например, запрашиваемая услуга недоступна, или хост, или маршрутизатор не отвечают. Также на ICMP возлагаются некоторые сервисные функции.

Заблокировав ICMP ты сломаешь TCP/IP, это любому нубу известно.

anonymous
()
Ответ на: комментарий от anonymous

Как часто это встречается на практике? Я могу сказать что на практике ты просто отваливаешься по таймауту и никто не подумает тебя уведомить о внештатных ситуациях. Обычно оно блокировано.

anonymous
()
Ответ на: комментарий от beastie

без пинга ipv6 не работает? серьезно? :)

а так-то я в курсе:

Chain icmpv6_pass (2 references)
num   pkts bytes target     prot opt in     out     source               destination         
1     197K   39M ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 1
2    94402  121M ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 2
3     296K  377M ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 3
4     5564  568K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 4
5      95M 4946M ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128
6        0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 129
7        3   216 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 134 HL match HL == 255
8      535 38520 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 HL match HL == 255
9     2079  150K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 HL match HL == 255
Rost ★★★★★
() автор топика
Последнее исправление: Rost (всего исправлений: 2)

короче говоря, вся эта фигня спингом ради того чтобы не флудили dht сеть с левых/не задействованных адресов(которых в ипви6 у каждого как грязи). типа сначала пингуем, если отвечает хост, значит общаемся с ним по dht. а почему только teredo - х.з.

Rost ★★★★★
() автор топика
Последнее исправление: Rost (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
debian vlan4 маршрут до pptp сетей
Admin
Удалить все ipv6 адреса с интерфейса