Din output pare că ești implicat într-un atac DNS. Presupun că SERVER e în rețeaua/managementul tău. Văd că vin cereri către domenii fictive www.0411gogo.com. și probabil îți umplu banda și îți fac denial of service asupra serverului DNS. Mai rău e că serverul tău răspunde cu udp port unreachable. Dacă nu ai server DNS care ascultă pe portul 53 ar trebui cel puțin să nu mai trimiți pachetele de ICMP unreachable, atlfel riști să participi la un atac de tip reflection (sursa spoofează adresele IP și îți trimite ție cereri și tu trimiți răspunsuri înapoi lovind în ținte nevinovate).
Dacă atacul îți consumă toată banda, nu prea ai ce să faci decât să rogi ISP-ul să-l filtreze (volumul îl poti vedea cu iptraf). ISP-ii de cartier nu cred că au altă soluție decât să îți schimbe adresa IP sau în cel mai bun caz să îți pună un ACL pe port. Un ISP mare îti poate oferi servicii contra cost de curățare a traficului. Totuși, tu poți opri traficul de ieșire punând în iptables -j DROP pe input pentru pachetele DNS (în ideea că nu rulezi server DNS). DROP va face ca sistemul să nu mai trimită înapoi mesajele ICMP port domain unreachable. Nu sunt familiar cu mesajul "port domain unreachable", am văzut doar port unreachable. Din câte știu eu serviciul DNS răspunde cu un mesaj DNS cu NXDOMAIN când nu găsește domeniul mai sus... 2014-04-03 1:12 GMT+03:00 Laurentiu STEFAN <laurentiu.ste...@gmail.com>: > In tcpdump pe interfata externa imi apare (sa aiba asta legatura cu > pachetele pierdute?): > > 23:49:41.128669 IP 116.141.219.150.49842 > SERVER.domain: 38363+ A? > www.0411gogo.com. (34) > 23:49:41.128919 IP SERVER > 116.141.219.150: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.156717 IP 93.241.118.60.12320 > SERVER.domain: 15222+ A? > www.0411gogo.com. (34) > 23:49:41.156942 IP SERVER > 93.241.118.60: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.157032 IP pa49-184-44-222.pa.vic.optusnet.com.au.36430 > > SERVER.domain: 56620+ A? www.0411gogo.com. (34) > 23:49:41.157215 IP SERVER > pa49-184-44-222.pa.vic.optusnet.com.au: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.160616 IP 26.85.168.245.56223 > SERVER.domain: 62632+ A? > www.0411gogo.com. (34) > 23:49:41.160840 IP SERVER > 26.85.168.245: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.435328 IP resolver1.opendns.com.domain > SERVER.59921: 15075 > ServFail 0/0/0 (45) > 23:49:41.435788 IP SERVER.55770 > resolver1.level3.net.domain: 15075+ PTR? > 208.147.247.23.in-addr.arpa. (45) > 23:49:41.518603 IP 24-240-125-17.static.unas.ky.charter.com.29756 > > SERVER.domain: 22908+ A? www.0411gogo.com. (34) > 23:49:41.518877 IP SERVER > 24-240-125-17.static.unas.ky.charter.com: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.522966 IP modemcable213.151-201-24.mc.videotron.ca.15089 > > SERVER.domain: 23703+ A? www.0411gogo.com. (34) > 23:49:41.523195 IP SERVER > modemcable213.151-201-24.mc.videotron.ca: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.565422 IP 95.80.238.255.43937 > SERVER.domain: 65262+ A? > www.0411gogo.com. (34) > 23:49:41.565657 IP SERVER > 95.80.238.255: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.689127 IP resolver1.level3.net.domain > SERVER.55770: 15075 > ServFail 0/0/0 (45) > 23:49:41.690454 IP SERVER.43998 > google-public-dns-a.google.com.domain: > 54966+ PTR? 3.9.152.116.in-addr.arpa. (42) > 23:49:41.692705 IP Acasa2.LaurentiuStefan.Ro.60440 > SERVER.ssh: Flags > [P.], seq 1365:1409, ack 6000, win 16161, length 44 > 23:49:41.696302 IP ppp-27-55-71-94.revip3.asianet.co.th.31692 > > SERVER.domain: 23879+ A? www.0411gogo.com. (34) > 23:49:41.696584 IP SERVER > ppp-27-55-71-94.revip3.asianet.co.th: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.761918 IP a23-198-70-55.deploy.static.akamaitechnologies.com.8992 > > SERVER.domain: 37189+ A? www.0411gogo.com. (34) > 23:49:41.762156 IP SERVER > > a23-198-70-55.deploy.static.akamaitechnologies.com: ICMP SERVER udp port > domain unreachable, length 70 > 23:49:41.764962 IP fibhost-66-44-47.fibernet.hu.54451 > SERVER.domain: > 11820+ A? www.0411gogo.com. (34) > 23:49:41.765194 IP SERVER > fibhost-66-44-47.fibernet.hu: ICMP SERVER udp > port domain unreachable, length 70 > 23:49:41.803244 IP doc-24-206-191-46.kw.tx.cebridge.net.smap > > SERVER.domain: 62654+ A? www.0411gogo.com. (34) > 23:49:41.803475 IP SERVER > doc-24-206-191-46.kw.tx.cebridge.net: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.852657 IP c-24-5-223-180.hsd1.ca.comcast.net.lbf > SERVER.domain: > 38367+ A? www.0411gogo.com. (34) > 23:49:41.852890 IP SERVER > c-24-5-223-180.hsd1.ca.comcast.net: ICMP > SERVER > udp port domain unreachable, length 70 > 23:49:41.864443 IP p1182-ipbfp4305osakakita.osaka.ocn.ne.jp.29710 > > SERVER.domain: 46480+ A? www.0411gogo.com. (34) > 23:49:41.864669 IP SERVER > p1182-ipbfp4305osakakita.osaka.ocn.ne.jp: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.878350 IP > a23-194-94-198.deploy.static.akamaitechnologies.com.51196 > SERVER.domain: > 30558+ A? www.0411gogo.com. (34) > 23:49:41.878592 IP SERVER > > a23-194-94-198.deploy.static.akamaitechnologies.com: ICMP SERVER udp port > domain unreachable, length 70 > 23:49:41.898663 IP 37.213.156.79.58873 > SERVER.domain: 20124+ A? > www.0411gogo.com. (34) > 23:49:41.898891 IP SERVER > 37.213.156.79: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.914032 IP c-67-175-253-188.hsd1.il.comcast.net.33564 > > SERVER.domain: 48125+ A? www.0411gogo.com. (34) > 23:49:41.914262 IP SERVER > c-67-175-253-188.hsd1.il.comcast.net: ICMP > SERVER udp port domain unreachable, length 70 > 23:49:41.914352 IP 106.99.251.74.52754 > SERVER.domain: 18939+ A? > www.0411gogo.com. (34) > 23:49:41.914534 IP SERVER > 106.99.251.74: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.916162 IP 61.34.97.153.55773 > SERVER.domain: 39009+ A? > www.0411gogo.com. (34) > 23:49:41.916392 IP SERVER > 61.34.97.153: ICMP SERVER udp port domain > unreachable, length 70 > 23:49:41.917669 IP 56.16.236.128.23202 > SERVER.domain: 32748+ A? > www.0411gogo.com. (34) > 23:49:41.917900 IP SERVER > 56.16.236.128: ICMP SERVER udp port domain > unreachable, length 70 > > > > În data de 2 aprilie 2014, 23:18, Laurentiu STEFAN < > laurentiu.ste...@gmail.com> a scris: > > > Asta am de la ISP > > > > service NET > > > > > > > > DwInt > > > > UpInt > > > > DwMetro > > > > UpMetro > > > > htb.rate > > > > 512 > > > > 512 > > > > 512 > > > > 512 > > > > htb.ceil > > > > 102400 > > > > 102400 > > > > 102400 > > > > 102400 > > > > rate > > > > 32 > > > > 24 > > > > 64 > > > > 0 > > > > pps > > > > 17 > > > > 19 > > > > 7 > > > > 0 > > > > Qlen > > > > 0 > > > > 0 > > > > 0 > > > > 0 > > > > dropped > > > > 38916 > > > > 0 > > > > 10418 > > > > 0 > > > > > > > > ipt-class: > > > > smtp-smartauto > > > > Status: > > > > activ > > > > ROOT > > > > > > > > DwInt > > > > UpInt > > > > DwMetro > > > > UpMetro > > > > htb.rate > > > > 950000 > > > > 950000 > > > > 2100000 > > > > 2100000 > > > > htb.ceil > > > > 950000 > > > > 950000 > > > > 2100000 > > > > 2100000 > > > > rate > > > > 436640 > > > > 397072 > > > > 644640 > > > > 382168 > > > > pps > > > > 75530 > > > > 71518 > > > > 76073 > > > > 80304 > > > > Qlen > > > > 0 > > > > 0 > > > > 0 > > > > 0 > > > > dropped > > > > 0 > > > > 0 > > > > 0 > > > > 0 > > > > > > Sunt pachete numai la download..... nu si la upload. > > Astea apar cand in PC intra si alte tipuri de pachete decat cele marcate > > de diferite protocoale? > > > > > > > > > > În data de 2 aprilie 2014, 18:35, manuel "lonely wolf" wolfshant < > > wo...@prolinux.ro> a scris: > > > > On 04/02/2014 06:22 PM, Mișu Moldovan wrote: > >> > 2014-04-02 18:15 GMT+03:00 manuel "lonely wolf" wolfshant < > >> wo...@prolinux.ro>: > >> >>> Oricum problema s-a rezolvat cind prietenul le-a atras atentia > asupra > >> >>> acestui fapt si nu i-am mai tot schimbat ruterul si nici nu l-au > >> >>> amenintat ca ii taie contractul ca cica ar fi facut chestii dubioase > >> in > >> >>> retea (controlul asupra routerului prietenului meu fiind retinut de > >> >>> isp-ul respectiv) > >> >> miroase a retea de cartier cu admin neatent > >> > Neatent? Ce eufemism frumos… Am și io parte de niște admini la ISP-ul > >> > meu de cartier, cam neatenți uneori. Mai ales când la investigarea > >> > unor incidente se trezesc că utilizatorul a lucrat și el în domeniu și > >> > nu poate fi prostit, dintr-o dată se dovedesc a fi cam „neatenți”. :) > >> azi e ziua in care in public vorbesc frumos. > >> in particular am spart deja o tastatura de 80$ > >> > >> _______________________________________________ > >> RLUG mailing list > >> RLUG@lists.lug.ro > >> http://lists.lug.ro/mailman/listinfo/rlug > >> > > > > > > > > -- > > --- > > Laurentiu STEFAN > > cont...@laurentiustefan.ro > > > > > > -- > --- > Laurentiu STEFAN > cont...@laurentiustefan.ro > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
