LINUX.ORG.RU
решено ФорумSecurity

Необычная активность на WAN

 ,


0

2

Доброго времени суток.
Прошу помощи. есть роутер, на котором, даже с отключенным Ви-Фи и физически отключенными LAN, на порту WAN дикая активность (по морганию индикатора). ТП провайдера, говорит: «Все в порядке»(кто бы сомневался)
tcpdump дает много всякой ерунды.заинтересовало, многократно повторяющиеся: 

IP host-(my_ip).qwerty.ru > 244.100.211.130.bc.googleusercontent.com: ICMP host host-(my_ip).qwerty.ru unreachable, length 60

ARP, Request who-has host-(my_ip).qwerty.ru tell host-(my_ip).qwerty.ru, length 28
ARP, Reply host-(my_ip).qwerty.ru is-at 00:90:1a:42:18:15 (oui Unknown), length 46

# и кусок с timestamp
20:38:05.554220 IP 213.199.179.172.40024 > host-(my_ip).qwerty.ru.50953: Flags [F.], seq 0, ack 1, win 31, options [nop,nop,TS val 1099394640 ecr 327369032], length 0
20:38:07.434521 IP 91.190.216.7.https > host-(my_ip).qwerty.ru.41198: Flags [FP.], seq 0:23, ack 1, win 2559, length 23
20:38:07.474101 IP 213.199.179.172.40024 > host-(my_ip).qwerty.ru.50953: Flags [F.], seq 0, ack 1, win 31, options [nop,nop,TS val 1099394832 ecr 327369032], length 0
20:38:08.639615 IP host-(my_ip).qwerty.ru > 239.2.0.251: igmp v2 report 239.2.0.251
20:38:08.640729 IP host-(my_ip).qwerty.ru.47807 > ns1.qwerty.ru.domain: 11+ PTR? 251.0.2.239.in-addr.arpa. (42)
20:38:08.758424 IP ns1.qwerty.ru.domain > host-(my_ip).qwerty.ru.47807: 11 NXDomain 0/1/0 (99)
20:38:11.324548 IP 213.199.179.172.40024 > host-(my_ip).qwerty.ru.50953: Flags [F.], seq 0, ack 1, win 31, options [nop,nop,TS val 1099395217 ecr 327369032], length 0
20:38:11.523866 IP 64.233.162.188.5228 > host-(my_ip).qwerty.ru.41438: Flags [P.], seq 0:41, ack 1, win 350, options [nop,nop,TS val 2992681236 ecr 46817995], length 41

Мне такая активность кажется подозрительной:
1. Провайдер накасячил с маршрутизацией и мне валятся чужие пакеты 2. Мой роутер мне не принадлежит, и участвует в ботнете. 3. Меня активно сканируют.

Что, и как смотреть?
от прова имею DHCP, staticIP



Последнее исправление: Klymedy (всего исправлений: 2)
Логирование FTP активности Centos
openssl: работа с удостоверяющим центром (CA)
Ответ на: комментарий от xtraeft

торренты?

качал, но давно (более 2 месяцев назад) и неактивно, слил один тор. и выключил...

Tohin
() автор топика

на порту WAN дикая активность

В дампе активность так себе - пара пакетов в секунду

Вот конкретно в этом куске ничего подозрительного не видно, это похоже на скайп-трафик. И что-то из гугла (гугл плей?)

Что, и как смотреть? 

$ whois 213.199.179.172

И дальше по обстоятельствам

Deleted
()

213.199.179.172 - из сети майкрософта; 91.190.216.7 - из сети скайпа; 64.233.162.188 - из сети гугла, судя по порту - это google talk. Обычный трафик, если у тебя есть винда, скайп и хром. tcpdump советую запускать с ключом -n, иначе может быть большая задержка между отловом пакета и показом его у тебя в консоли.

По поводу моргания WAN'а - если в одном локальном сегменте с тобой есть еще несколько абонентов, а оно скорее всего так, то там будут броадкасты - как минимум ARP-запросы, у тебя еще и igmp. Также винды остальных абонентов могут отправлять свои броадкасты в сеть. В обще, по одному только морганию судить рано.

Deleted
()

Пакеты-то тебе валятся твои.
whois 213.199.179.172
whois 64.233.162.188
Мелкософт и гугль. PS: собственно slvrn всё уже написал.

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от Deleted

whois 213.199.179.172

Один ip из гугла, второй из мелкомягких. к сожалению ком-порт не распаян, поэтому «чистый» эксперимент затруднителен.

Может ли быть активность которую не ловит tcpdump?
Я снес айпишник с интерфейса, активность моргания сохраняется. ловятся совершенно странные пакеты:

21:14:15.365479 IP 1.215.249.26.12863 > 79.165.187.188.ssh: Flags [S], seq 3096925993, win 14600, options [mss 1460,sackOK,TS val 1318133167 ecr 0,nop,wscale 7], length 0
21:14:16.366398 IP 1.215.249.26.12863 > 79.165.187.188.ssh: Flags [S], seq 3096925993, win 14600, options [mss 1460,sackOK,TS val 1318134167 ecr 0,nop,wscale 7], length 0
21:14:18.365517 IP 1.215.249.26.12863 > 79.165.187.188.ssh: Flags [S], seq 3096925993, win 14600, options [mss 1460,sackOK,TS val 1318136167 ecr 0,nop,wscale 7], length 0
21:14:22.367115 IP 1.215.249.26.12863 > 79.165.187.188.ssh: Flags [S], seq 3096925993, win 14600, options [mss 1460,sackOK,TS val 1318140167 ecr 0,nop,wscale 7], length 0
и целевой айпишник не мой.
но индикатор моргает на максимальной частоте (как при полной загрузке канала), хотя пакеты 1 раз в 2 секунды.

Tohin
() автор топика
Ответ на: комментарий от Deleted

если в одном локальном сегменте с тобой есть еще несколько абонентов

У Qwerty 1 абонент = 1 vlan до BRAS. То есть чужих пакетов я видеть не должен (при правильном конфиге оборудования прова.) Хотя я их и не вижу.

Tohin
() автор топика
Ответ на: если в одном локальном сегменте с тобой есть еще несколько абонентов от Tohin

У Qwerty 1 абонент = 1 vlan до BRAS

А как они адреса тогда раздают, по /30 на абонента? Или ты юрлицо?

к сожалению ком-порт не распаян, поэтому «чистый» эксперимент затруднителен.

Тогда, возможно, в этом и дело.

Deleted
()
Ответ на: whois 213.199.179.172 от Tohin

Может ли быть активность которую не ловит tcpdump?

tcpdump может буксовать на разрешении имен. Запустите его с ключом -n, как slvrn советовал, может быть картина изменится

Deleted
()
Ответ на: комментарий от Deleted

А как они адреса тогда раздают, по /30 на абонента?

Не совсем понял, но маска у меня /20. Статику дают по hostname. А меня смущает отличие в показании индикатора и захваченных пакетов.
Может ли быть руткит маскирующий трафик от захвата tcpdump'ом?
tcpdump -i eth1 -n все равно большая разница между кол-вом «морганий» и захваченными пакетами.

Tohin
() автор топика
Ответ на: А как они адреса тогда раздают, по /30 на абонента? от Tohin

Не совсем понял, но маска у меня /20.

Какая-то слишком большая подсеть получается. 4096 адресов - столько же, сколько и возможных виланов. Придумал дикую идею, что эти два факта между собой связаны, но не могу придумать схему, по которой это могло бы работать >_< ... Точно не /30?

А меня смущает отличие в показании индикатора и захваченных пакетов.

Кстати, на роутере ты виланы не настраивал? Или там все прозрачно?

Может ли быть руткит маскирующий трафик от захвата tcpdump'ом?

Попробуй поставить на место роутера комп с запущеным LiveCD, например, этим, скопировать настройки сети (IP, subnet, mac-address) и поснифать трафик.

Deleted
()
Ответ на: комментарий от Deleted

Статику дают по hostname

Тогда и хостнейм тоже поменяй.

Deleted
()
Ответ на: комментарий от Deleted

Попробуй поставить на место роутера комп с запущеным LiveCD...

Так, что-то я не подумав написал. Точно спать пора :D

Deleted
()
Ответ на: комментарий от Deleted

Точно не /30? два факта между собой связаны

Точно. Если мне память не изменяет -> связаны.Это VLAN клиента, или Customer VLAN IDs (CVLAN IDs).

Попробуй поставить на место роутера комп с запущеным LiveCD

есть Убунта на недобуке. Завтра проверю. может еще хаб в разрыв аплинка повешу и поснифаю.

Пока предлагаю таймаут. спать охота.

Tohin
() автор топика
Ответ на: комментарий от Tohin

недобук пока не помог

fyi недобук с настройками роутера (включая мак) чувствует себя нормально.количество отловленных пакетов коррелирует с активностью индикатора. в режиме простоя индикатор не мигает. в разрыв аплинка с хабом пока не ставил (спать хочеца). посему таймаут до завтра.

Tohin
() автор топика
Ответ на: комментарий от gentoo_root

Что-то такое я себе и представлял, когда сказал, что не могу придумать схему, по которой это все бы работало. Брас, терминирующий 4к абонентских виланов и имеющий 4к юникастных маршрутов, казался чем-то монструозным. Но позже пришла мысль, что терминировать виланы не так уж и затратно, и что старые циски помнили по 512к маршрутов :)

Ссылка интересная, спасибо.

Deleted
()

Хаб помог, но рад ли я этому?

При включении хаба в разрыв аплинка все работает прекрасно, никаких лишних морганий. Проблема не в security, а в hardware. Тут мои познания равны нулю. Т.к. исходные опасения не подтвердились, тему (в рамках данной ветки) отмечаю как решенную.

При наличии желания, готов продолжить поис причины в личке (в рамках данной - оффтоп, кмк), в случае найденного решения дополним историю тут.

Tohin
() автор топика
Ответ на: Хаб помог, но рад ли я этому? от Tohin

Лички тут нет, а поиск истины не посчитают оффтопом. Так что стоит продолжать здесь, если будет что сказать.

Deleted
()
Ответ на: Хаб помог, но рад ли я этому? от Tohin

Проблема не в security, а в hardware

О, кстати, недавно видел что-то похожее. В дружественной организации случайно сделали петлю, результат выглядел так: бешенная активность линка, сеть еле работала. В логи маршрутизатора валилось что-то про arp. Ну, петля у вас вряд ли получилась, может что-то с патч-кордами или розетками

Deleted
()
Ответ на: комментарий от Deleted

loopback видел(и делал) неоднократно. и физический (замкнуты патч-кордом 2 порта, или один порт замкнут сам на себя) и логический (ошибки конфигурирования коммутаторов). Но факт в том, что сеть не тормозит, кольцевых пакетов на порт не валится, провайдер повышенной нагрузкой не возмущен. Это не кольцо.

Tohin
() автор топика
24 мая 2015 г.

Итог

После кратковременных перебоев с электричеством в доме интернет пропал совсем.Провайдер, запросив у меня статистику ping'ов, подумал 2 дня и прислал инженера. Инженер, звякнув кабель Fluke'ом, приговорил порт на коммутаторе. На новом порту все замечательно, лишних морганий нет.

Так что моргание индикатора, при отсутствии пакетов, может означать приближающуюся кончину интерфейса...

Tohin
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Логирование FTP активности Centos
Security
openssl: работа с удостоверяющим центром (CA)