-----Original MessageFrom: Max <max.subscri***@m*****.ru>
To: "comp.soft.linux.discuss" <kol_***@m*****.ru> (13590549)
Date: Tue, 12 Feb 2008 20:42:14 +0200
Subject: куда уходит трафик?
>
> Привет всем!
> Помогите решить следующую задачку: домашняя машина подключена к сети
> через выделенную линию. С недавних пор через wmnetload наблюдаю
> стабильную отправку пакетов в интернет во время, когда никто и ничто
> не должно сего делать, но куда и кто? Вирус, троян?
> Как найти о обезвредить наглеца?
Вы бы указали свой IP?
>
> # tcpdump -vv
> tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
> 20:40:10.468711 IP (tos 0x0, ttl 128, id 8901, offset 0, flags [DF], length:
> 48) 172.17.3.41.3209 > 172.17.0.238.microsoft-ds: S [tcp sum ok] 3561594452:3561594452(0)
> win 64240 <mss 1460,nop,nop,sackOK>
> 20:40:10.469174 arp who-has 172.17.8.188 tell 172.17.8.1
> 20:40:10.469201 IP (tos 0x0, ttl 104, id 3365, offset 0, flags [DF], length:
> 44) 64.12.24.244.5190 > 172.17.3.24.1065: S [tcp sum ok] 3842042781:3842042781(0)
Ваш IP 3.24? Тогда на Вашем компе запущена ася
> ack 2225006114 win 16384 <mss 1360>
> 20:40:10.469206 arp who-has 172.17.8.59 tell 172.17.8.1
> 20:40:10.469214 arp who-has 172.17.8.83 tell 172.17.8.1
> 20:40:10.469221 arp who-has 172.17.9.156 tell 172.17.8.1
> 20:40:10.470436 IP (tos 0x0, ttl 128, id 8901, offset 0, flags [DF], length:
> 48) 172.17.3.41.3209 > 172.17.0.238.microsoft-ds: S [tcp sum ok] 3561594452:3561594452(0)
> win 64240 <mss 1460,nop,nop,sackOK>
> 20:40:10.470925 arp who-has 172.17.9.5 tell 172.17.8.1
> 20:40:10.470947 arp who-has 172.17.10.29 tell 172.17.10.10
> 20:40:10.470954 arp who-has 172.17.10.60 tell 172.17.10.10
> 20:40:10.471153 arp who-has 172.17.8.83 tell 172.17.8.1
> 20:40:10.472232 arp who-has 172.17.10.29 tell 172.17.10.10
> 20:40:10.474939 IP (tos 0x0, ttl 64, id 447, offset 0, flags [DF], length:
71)
> maxhome.home.ua.2679 > 172.17.7.254.domain: [bad udp cksum 476f!] 40434+ PTR?
> 238.0.17.172.in-addr.arpa. (43)
> 20:40:10.520742 IP (tos 0x0, ttl 128, id 21648, offset 0, flags [none], length:
> 234) 172.17.3.51.netbios-dgm > 172.17.7.255.netbios-dgm:
> >>> NBT UDP PACKET(138) Res=0x1102 ID=0x80FF IP=172 (0xac).17 (0x11).3 (0x3).51
> (0x33) Port=138 (0x8a) Length=192 (0xc0) Res2=0x0
> SourceName=DIAVOL-DF183901 NameType=0x20 (Server)
> DestName=
> WARNING: Short packet. Try increasing the snap length
>
>
> 20:40:10.535640 arp who-has 172.17.10.111 tell 172.17.10.10
> 20:40:10.535674 arp who-has 172.17.4.11 tell 172.17.0.254
> 20:40:10.535961 arp who-has 172.17.10.111 tell 172.17.10.10
> 20:40:10.537105 IP (tos 0x0, ttl 64, id 12199, offset 0, flags [DF], length:
> 48) 192.168.0.1.http > 172.17.3.24.1067: S [tcp sum ok] 1483752218:1483752218(0)
Опять же, если я угадал с IP-шником, то что это за 192.168.0.1 с которого закачивается
вэб-контент.?
> ack 296713709 win 65535 <mss 1460,sackOK,eol>
> 20:40:10.551221 arp who-has 172.17.8.33 tell 172.17.8.1
> 20:40:10.551240 arp who-has 172.17.8.103 tell 172.17.8.1
> 20:40:10.551247 arp who-has 172.17.9.177 tell 172.17.9.195
>
> 21 packets captured
> 4219 packets received by filter
> 3798 packets dropped by kernel
>
>
> --
> С Уважением Максим Шаптала
> Linux forever
>
Я в приведенном дампе криминала не увидел.
Типичный обмен АРП на внешнем интерфейсе, характерный для карточки включенной
в свич.
Немного виндового мусора, а так ничего особенного
Я бы прикрыл файерволом порты 135-139(tcp&udp),445(tcp) на вход и выход если
не нужно видеть соседей по сети. Особенно 445. А заодно убил бы NetBIOS в службах.
>
-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 33677; Возраст листа: 1665; Участников: 1498
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/724855
