Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: Firzen 06 Října 2011, 19:14:00
-
Dobrý den,
z ničeho nic mi počítač s Debianem začal neustále stahovat rychlostí 14 KBps. Přetrvává to i po restartu.
Zkoušel jsem identifikovat, který proces stahuje pomocí netstat -anp, pak taky pomocí iftop + netstat -ang | grep nalezené_možnosti.
Nicméně i po vypnutí všech procesů, které stahovaly to stále neustalo.
Nevíte, jak bych měl zjstit, co se vlastně děje?
-
sudo tcpdump ?
ono ne kazdy prichozi paket je vysledkem stahovani...
-
19:23:28.021720 ARP, Request who-has 10.148.19.179 tell 172.26.0.123, length 46
19:23:28.021957 ARP, Request who-has 10.149.19.185 tell 172.26.0.123, length 46
19:23:28.023140 ARP, Request who-has 10.148.19.180 tell 172.26.0.123, length 46
19:23:28.023563 ARP, Request who-has 10.149.19.186 tell 172.26.0.123, length 46
19:23:28.024302 ARP, Request who-has 10.149.19.187 tell 172.26.0.123, length 46
19:23:28.024442 ARP, Request who-has 10.149.19.188 tell 172.26.0.123, length 46
19:23:28.024572 ARP, Request who-has 10.148.19.181 tell 172.26.0.123, length 46
19:23:28.024917 ARP, Request who-has 10.149.19.189 tell 172.26.0.123, length 46
19:23:28.025646 ARP, Request who-has 10.148.19.182 tell 172.26.0.123, length 46
19:23:28.026168 ARP, Request who-has 10.149.19.190 tell 172.26.0.123, length 46
19:23:28.026242 ARP, Request who-has 10.148.19.183 tell 172.26.0.123, length 46
19:23:28.026813 ARP, Request who-has 10.148.19.184 tell 172.26.0.123, length 46
19:23:28.027521 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.43068: 28968 NXDomain 0/1/0 (121)
19:23:28.027644 IP 191-96.kolejnet.upol.cz.41728 > ns-kolejnet.upol.cz.domain: 61210+ PTR? 179.19.149.10.in-addr.arpa. (44)
19:23:28.027736 ARP, Request who-has 10.148.19.185 tell 172.26.0.123, length 46
19:23:28.027976 ARP, Request who-has 10.149.19.191 tell 172.26.0.123, length 46
19:23:28.029145 ARP, Request who-has 10.148.19.186 tell 172.26.0.123, length 46
19:23:28.034083 IP 191-96.kolejnet.upol.cz.37979 > ns-kolejnet.upol.cz.domain: 44555+ PTR? 174.19.148.10.in-addr.arpa. (44)
19:23:28.040808 IP 191-96.kolejnet.upol.cz.60374 > ns-kolejnet.upol.cz.domain: 60207+ PTR? 180.19.149.10.in-addr.arpa. (44)
19:23:28.047202 IP 191-96.kolejnet.upol.cz.59019 > ns-kolejnet.upol.cz.domain: 46540+ PTR? 181.19.149.10.in-addr.arpa. (44)
19:23:28.053505 IP 191-96.kolejnet.upol.cz.44277 > ns-kolejnet.upol.cz.domain: 25435+ PTR? 182.19.149.10.in-addr.arpa. (44)
19:23:28.060634 IP 191-96.kolejnet.upol.cz.58832 > ns-kolejnet.upol.cz.domain: 49527+ PTR? 175.19.148.10.in-addr.arpa. (44)
19:23:28.067038 IP 191-96.kolejnet.upol.cz.46099 > ns-kolejnet.upol.cz.domain: 13931+ PTR? 183.19.149.10.in-addr.arpa. (44)
19:23:28.073244 IP 191-96.kolejnet.upol.cz.35712 > ns-kolejnet.upol.cz.domain: 41569+ PTR? 61.191.194.158.in-addr.arpa. (45)
19:23:28.073781 IP 191-96.kolejnet.upol.cz.48720 > ns-kolejnet.upol.cz.domain: 52879+ PTR? 176.19.148.10.in-addr.arpa. (44)
19:23:28.079928 IP 191-96.kolejnet.upol.cz.52125 > ns-kolejnet.upol.cz.domain: 6830+ PTR? 184.19.149.10.in-addr.arpa. (44)
19:23:28.086286 IP 191-96.kolejnet.upol.cz.44031 > ns-kolejnet.upol.cz.domain: 60270+ PTR? 177.19.148.10.in-addr.arpa. (44)
19:23:28.092547 IP 191-96.kolejnet.upol.cz.54372 > ns-kolejnet.upol.cz.domain: 45029+ PTR? 178.19.148.10.in-addr.arpa. (44)
19:23:28.098935 ARP, Request who-has 10.148.20.0 tell 172.26.0.123, length 46
19:23:28.098945 IP 191-96.kolejnet.upol.cz.43122 > ns-kolejnet.upol.cz.domain: 62908+ PTR? 179.19.148.10.in-addr.arpa. (44)
19:23:28.099043 ARP, Request who-has 10.149.20.6 tell 172.26.0.123, length 46
19:23:28.104955 IP 191-96.kolejnet.upol.cz.50919 > ns-kolejnet.upol.cz.domain: 29931+ PTR? 185.19.149.10.in-addr.arpa. (44)
19:23:28.111065 IP 191-96.kolejnet.upol.cz.56568 > ns-kolejnet.upol.cz.domain: 12552+ PTR? 180.19.148.10.in-addr.arpa. (44)
19:23:28.117992 IP 191-96.kolejnet.upol.cz.44045 > ns-kolejnet.upol.cz.domain: 26012+ PTR? 186.19.149.10.in-addr.arpa. (44)
19:23:28.124364 IP 191-96.kolejnet.upol.cz.57843 > ns-kolejnet.upol.cz.domain: 33157+ PTR? 187.19.149.10.in-addr.arpa. (44)
19:23:28.130677 IP 191-96.kolejnet.upol.cz.47407 > ns-kolejnet.upol.cz.domain: 35211+ PTR? 188.19.149.10.in-addr.arpa. (44)
19:23:28.136990 IP 191-96.kolejnet.upol.cz.43945 > ns-kolejnet.upol.cz.domain: 55581+ PTR? 181.19.148.10.in-addr.arpa. (44)
19:23:28.143236 IP 191-96.kolejnet.upol.cz.35857 > ns-kolejnet.upol.cz.domain: 29784+ PTR? 189.19.149.10.in-addr.arpa. (44)
19:23:28.150349 IP 191-96.kolejnet.upol.cz.40483 > ns-kolejnet.upol.cz.domain: 62401+ PTR? 182.19.148.10.in-addr.arpa. (44)
19:23:28.156641 IP 191-96.kolejnet.upol.cz.38302 > ns-kolejnet.upol.cz.domain: 28779+ PTR? 190.19.149.10.in-addr.arpa. (44)
19:23:28.162950 IP 191-96.kolejnet.upol.cz.37160 > ns-kolejnet.upol.cz.domain: 20275+ PTR? 183.19.148.10.in-addr.arpa. (44)
19:23:28.169716 IP 191-96.kolejnet.upol.cz.51036 > ns-kolejnet.upol.cz.domain: 30532+ PTR? 184.19.148.10.in-addr.arpa. (44)
19:23:28.176334 IP 191-96.kolejnet.upol.cz.34585 > ns-kolejnet.upol.cz.domain: 55067+ PTR? 185.19.148.10.in-addr.arpa. (44)
19:23:28.182692 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.34585: 55067 NXDomain 0/1/0 (121)
19:23:28.182757 IP 191-96.kolejnet.upol.cz.57743 > ns-kolejnet.upol.cz.domain: 18919+ PTR? 191.19.149.10.in-addr.arpa. (44)
19:23:28.188849 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.57743: 18919 NXDomain 0/1/0 (121)
19:23:28.188918 IP 191-96.kolejnet.upol.cz.38796 > ns-kolejnet.upol.cz.domain: 591+ PTR? 186.19.148.10.in-addr.arpa. (44)
19:23:28.195133 IP 191-96.kolejnet.upol.cz.54637 > ns-kolejnet.upol.cz.domain: 63000+ PTR? 0.20.148.10.in-addr.arpa. (42)
19:23:28.201272 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.54637: 63000 NXDomain 0/1/0 (119)
19:23:28.201348 IP 191-96.kolejnet.upol.cz.59913 > ns-kolejnet.upol.cz.domain: 27458+ PTR? 6.20.149.10.in-addr.arpa. (42)
19:23:28.207258 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.59913: 27458 NXDomain 0/1/0 (119)
19:23:28.280285 ARP, Request who-has 189-15.kolejnet.upol.cz tell 191-92.kolejnet.upol.cz, length 46
19:23:28.298761 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.298834 IP 191-96.kolejnet.upol.cz.53864 > ns-kolejnet.upol.cz.domain: 23970+ PTR? 4.9.7.5.6.c.1.f.d.8.a.4.3.d.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa. (90)
19:23:28.299706 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.53864: 23970 NXDomain* 0/1/0 (125)
19:23:28.305309 IP6 fe80::2471:1928:5165:c4aa.1900 > ff02::c.1900: UDP, length 516
19:23:28.309656 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::1:ff77:b9c2: ICMP6, neighbor solicitation, who has fe80::8c6b:3047:b877:b9c2, length 32
19:23:28.309664 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::1:ff74:6e75: ICMP6, neighbor solicitation, who has fe80::3cbb:2f7e:374:6e75, length 32
19:23:28.309895 IP6 fe80::8c6b:3047:b877:b9c2 > ff02::1:ffc6:5794: ICMP6, neighbor solicitation, who has fe80::20d3:4a8d:f1c6:5794, length 32
19:23:28.310269 IP 191-96.kolejnet.upol.cz.52772 > ns-kolejnet.upol.cz.domain: 53626+ PTR? 4.9.7.5.6.c.f.f.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
19:23:28.311101 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::1:ff65:c4aa: ICMP6, neighbor solicitation, who has fe80::2471:1928:5165:c4aa, length 32
19:23:28.311241 ARP, Request who-has 158.194.188.1 tell 188-4.kolejnet.upol.cz, length 46
19:23:28.311335 IP6 fe80::2471:1928:5165:c4aa > ff02::1:ffc6:5794: ICMP6, neighbor solicitation, who has fe80::20d3:4a8d:f1c6:5794, length 32
19:23:28.312252 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.312725 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.320069 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.321813 IP6 fe80::20d3:4a8d:f1c6:5794.52325 > ff02::1:3.hostmon: UDP, length 23
19:23:28.321969 IP 188-4.kolejnet.upol.cz.54342 > 224.0.0.252.hostmon: UDP, length 23
19:23:28.331983 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.52772: 53626 NXDomain 0/1/0 (160)
19:23:28.332064 IP 191-96.kolejnet.upol.cz.40123 > ns-kolejnet.upol.cz.domain: 56561+ PTR? 4.188.194.158.in-addr.arpa. (44)
19:23:28.332638 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.40123: 56561 2/1/1 CNAME 4.188.knet.194.158.in-addr.arpa., PTR 188-4.kolejnet.upol.cz. (147)
19:23:28.346644 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.353247 IP6 fe80::2471:1928:5165:c4aa.1900 > ff02::c.1900: UDP, length 498
19:23:28.387335 IP6 fe80::e44c:e5d0:1577:5996.58484 > ff02::c.1900: UDP, length 146
19:23:28.421656 IP6 fe80::20d3:4a8d:f1c6:5794.52325 > ff02::1:3.hostmon: UDP, length 23
19:23:28.421663 IP 188-4.kolejnet.upol.cz.54342 > 224.0.0.252.hostmon: UDP, length 23
19:23:28.432067 IP 189-234.kolejnet.upol.cz.10093 > 255.255.255.255.10093: UDP, length 46
19:23:28.454447 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.454695 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.454933 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.464931 IP6 fe80::d893:5570:3140:6e4a > ff02::1:fff5:189c: ICMP6, neighbor solicitation, who has fe80::192a:f0a6:2df5:189c, length 32
19:23:28.465274 IP6 fe80::192a:f0a6:2df5:189c > ff02::1:ff40:6e4a: ICMP6, neighbor solicitation, who has fe80::d893:5570:3140:6e4a, length 32
19:23:28.465285 IP 191-96.kolejnet.upol.cz.49270 > ns-kolejnet.upol.cz.domain: 42711+ PTR? c.9.8.1.5.f.f.f.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
19:23:28.486939 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.49270: 42711 NXDomain 0/1/0 (160)
Tak jsou tam samé takovéhle pakety.. Na wiresharku (na ten jsem nějak zapomněl) vidím samé dotazy přes ARP.
Příliš moudrý z toho teda nejsem (akorát jsem se dočetl, že protokol ARP se používá pro detekci MAC adres).
-
a to jsou tusim broadcasty, takze Vas stroj to prijme coby paket, ale neni puvodcem provozu
takze je to prichozi provoz, ale rozhodne ne "stahovani"
btw ten 191-96.kolejnet.upol.cz je nejakej az moc zvedavej...
19:23:28.104955 IP 191-96.kolejnet.upol.cz.50919 > ns-kolejnet.upol.cz.domain: 29931+ PTR? 185.19.149.10.in-addr.arpa. (44)
19:23:28.111065 IP 191-96.kolejnet.upol.cz.56568 > ns-kolejnet.upol.cz.domain: 12552+ PTR? 180.19.148.10.in-addr.arpa. (44)
19:23:28.117992 IP 191-96.kolejnet.upol.cz.44045 > ns-kolejnet.upol.cz.domain: 26012+ PTR? 186.19.149.10.in-addr.arpa. (44)
19:23:28.124364 IP 191-96.kolejnet.upol.cz.57843 > ns-kolejnet.upol.cz.domain: 33157+ PTR? 187.19.149.10.in-addr.arpa. (44)
19:23:28.130677 IP 191-96.kolejnet.upol.cz.47407 > ns-kolejnet.upol.cz.domain: 35211+ PTR? 188.19.149.10.in-addr.arpa. (44)
19:23:28.136990 IP 191-96.kolejnet.upol.cz.43945 > ns-kolejnet.upol.cz.domain: 55581+ PTR? 181.19.148.10.in-addr.arpa. (44)
19:23:28.143236 IP 191-96.kolejnet.upol.cz.35857 > ns-kolejnet.upol.cz.domain: 29784+ PTR? 189.19.149.10.in-addr.arpa. (44)
19:23:28.150349 IP 191-96.kolejnet.upol.cz.40483 > ns-kolejnet.upol.cz.domain: 62401+ PTR? 182.19.148.10.in-addr.arpa. (44)
19:23:28.156641 IP 191-96.kolejnet.upol.cz.38302 > ns-kolejnet.upol.cz.domain: 28779+ PTR? 190.19.149.10.in-addr.arpa. (44)
19:23:28.162950 IP 191-96.kolejnet.upol.cz.37160 > ns-kolejnet.upol.cz.domain: 20275+ PTR? 183.19.148.10.in-addr.arpa. (44)
19:23:28.169716 IP 191-96.kolejnet.upol.cz.51036 > ns-kolejnet.upol.cz.domain: 30532+ PTR? 184.19.148.10.in-addr.arpa. (44)
19:23:28.176334 IP 191-96.kolejnet.upol.cz.34585 > ns-kolejnet.upol.cz.domain: 55067+ PTR? 185.19.148.10.in-addr.arpa. (44)
EDIT: resp. je otazka, jestli to neni pokus o DoS na DNS pro koleje... (dotaz na totez se opakuje v jedne desetine vteriny)
-
A co ten 191-96.kolejnet.upol.cz teda vlastně dělá? Skenuje ip adresy? Zjišťuje MAC adresy? Nebo co se děje?
Jo a taky, mám se bát? ;D
-
pokud jsem to spravne vyhodnotil, tak jde o dotazy na DNS na reverzni zonu, kdy to chce zpetnej preklad z IP adresy na jmeno, ale nemelo by to byt tak cetne (pri poptavani tehoz), protoze normalni stroje na to pouzivaji cache...
EDIT: pokud to neni pokus o DoS, pripadne neni z Vaseho stroje, tak se asi bat nemusite, ale pokud se DNSko slozi, tak nepujde preklad IP <-> Jmeno a to muze prinest potize
muzete zkusit pouzit dnsmasq, jako nameservery zkusit ty od google (8.8.8.8 a 8.8.4.4) a pokusit se o vlastni lokalni cache
-
EDIT: Tak mi právě došlo, že 191-96.kolejnet.upol.cz je můj vlastní stroj! :o Takže tedy, co teď? ;D (hmm, všechna citlivá data jsem naštěstí nedávno zašifroval)
-
EDIT: Tak mi právě došlo, že 191-96.kolejnet.upol.cz je můj vlastní stroj! :o Takže tedy, co teď? ;D (hmm, všechna citlivá data jsem naštěstí nedávno zašifroval)
A vida ho, hackera ;D! Pokouší se shodit DNS na kolejích.
-
Nějaký vtipálek se pokouší zahltit váš počítač hromadou zbytečných požadavků a získat tak přístup do systému, jenže mu jaksi nedochází, že tenhle způsob funguje pouze na Windows. Druhá možnost je, že váš stroj provozuje DNS a někdo se ji snaží shodit, pokud není v systému starý Apache (který tam defaultně není), platí pro oba stavy totéž, systém na všechno aplikuje reject
-
Tak to mu - vzhledem k vykonu meho PC - preju mnoho stesti. :-D
-
Tak podla pravidiel to nie je kóšer
5. Je zakázáno jakýmkoliv způsobem zkoušet obelstít monitorovací systém nebo se jakkoliv pokoušet narušit správný chod sítě.
6. Uživatel nesmí jakkoliv (ani nevědomě) bránit v užívání sítě ostatním uživatelům.
8. Každý uživatel je zodpovědný za svůj počítač a je povinen udržovat jej dostatečně zabezpečený a v takovém stavu, aby neohrožoval chod sítě nebo ostatních počítačů.
-
Tak to mu - vzhledem k vykonu meho PC - preju mnoho stesti. :-D
pokud je to Vas pocitac, tak je zdrojem/jste zdrojem - chtelo by to resit, proc je to tak, nez si toho vsimne spravce site a odpoji Vas...
-
Tak to mu - vzhledem k vykonu meho PC - preju mnoho stesti. :-D
pokud je to Vas pocitac, tak je zdrojem/jste zdrojem - chtelo by to resit, proc je to tak, nez si toho vsimne spravce site a odpoji Vas...
Právě jsem provedl poslední a definitivní pokus. Vypnul jsem svůj PC, nainstaloval jsem wireshark na kamarádově notebooku a sledoval pakety; zároveň jsem sledoval zatížení sítě.
ARP requesty tam byly stále.
Pak jsem zapnul můj počítač a nic se nezměnilo. Z toho tedy lze soudit, že moje PC nic neodesílá.
PS: Přišlo mi divné, že když jsme poprvé zapojili switch k WAN, tak okamžitě začal zběsile blikat, jakoby tam už putovala nějaká data. Je to normální chování? Jsem fakt noob v sítích, takže moc nevím. Ale nezdálo se mi to. Switch bliká furt i když nikdo nic nestahuje a nebo když jsou počítače vypnuté či odpojené..
-
v rozsahlejsi siti, kde uz nejake ty pocitace bezi je normalni, ze tam nejake ty pakety putuji, aniz by uzivatele vyvijeli nejakou cinnost
to co mne prve zaujalo nebyly pakety v souvislosti s ARP, ale opakovane pakety v souvislosti s DNS...