Перейти к содержимому
Local
Lufa

Что за трафик? tcpdump: IP 7464.0.0 > 0.0.0: at-#0 7

Рекомендованные сообщения

PPPoE сервер завис. З консолі дав "tcpdump -n -i em1", безперестанно валить:

18:23:48.403982 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.403986 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.403989 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.403992 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.403996 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.403999 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.404002 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.404006 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.404009 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.404013 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.404016 IP 7464.0.0 > 0.0.0: at-#0 7
18:23:48.404019 IP 7464.0.0 > 0.0.0: at-#0 7

і час від часу 1-2 пакети "нормальні".

 

з опцією "-v":

18:25:09.494925 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494929 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494933 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494936 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494939 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494943 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494946 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494949 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494952 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494956 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494960 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494963 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)
    kip 7464.0.0 > 0.0.0: at-#0 7
18:25:09.494966 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51)

Інші сервери зараз під DoS-атакою...

 

FreeBSD 10.1-RELEASE. Підкажіть, що це?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запишите дамп в файл и проанализируйте  его в wireshark.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Справді, Wireshark показав UDP трафік і нормальні IP.

 

Якщо вакзати ключ "tcpdump -q" то теж показує IP.

 

UDP-флуд... :(

 

Дякую!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: СИОН
      Доброго времени суток коллеги.
      Такая проблема случилось...
      Взломали сеть - положили биллинг и микротик основной. 
      Также сдохло железо (программно) все что касается оборудования микротик и юбикюти. 
      Восстанавливаем уже третьи сутки.
       
      Вопрос:
      Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.
      Офтоп... просьба не поддергивать и не писать нелепые сообщения, попросту помочь советом.
      Заранее спасибо.
    • Автор: MazaXaka
      Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.
       
      Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.
      Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow
      наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.
       
      Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?
    • Автор: USD
      активно досят мои ір 
      тсп/удп
      заяву в  кибер уже написал
      кто как наблюдает/борется?
      у меня софт бджп на никсе
    • Автор: ikuferu
      Компания "Бест" 3 год ·   
      15 та 16 січня 2017 року на мережу Компанії Бест було здійснено ряд хакерських DDOS атак, через що було порушено працездатність мережі і тимчасово виведено з ладу маршрутизуюче обладнання ядра мережі. Користувачі відчували погіршення якості Інтернет сервісу у період з 22 до 24 години, була відсутня маршрутизація з частиною мережі Інтернет (здебільшого світовий сегмент), сумарний час погіршення сервісу склав близько 4 годин, атаки здійснювалися у час найбільшого навантаження на мережу у неділю та понеділок.
       
       
       
×