Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.

Autor Téma: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]  (Přečteno 5103 krát)

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Zdravim!
Dneska jsem si vsiml, ze mam na sitovce nekdy docela velky provoz v prichozich datech. Rychlost prichoziho spojeni je asi 1MB/s a tak se to drzi dost dlouhou dobu (celkem se mi nasbira i nekolik giga prichozich dat). Kdyz si nastartuju Firestarter a kouknu se na aktivni spojeni, tak tam je vzdycky nekolik malo aktivnich spojeni (firefox, pidgin...) a u tech nepredpokladam, ze dokazi udelat takovy traffic. Navic kdyz je vsechny povypinam, tak sice zmizi z firestarteru jako aktivni spojeni, ale traffic se ani nehne. Docela by me zajimalo ktery program (a hlavne kam) takove mnozstvi dat stahuje.
Jeste jedna takova poznamka: Firestarter mi normalne nebezi, ale predpokladam, ze se stale postupuje podle jeho nastaveni (tedy nastaveni iptables), ze?
Jinak pouzivam HH a Gnome. Pokud budete chtit dalsi vypisy, tak je sem rad hodim.
Dekuju za jakoukoliv radu ci pomoc :)
« Poslední změna: 10 Květen 2008, 20:53:19 od Petr 'Merlin' Vaněček »

tomato

  • Člen
  • **
  • Příspěvků: 155
  • Karma: +15/-1
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #1 kdy: 07 Květen 2008, 10:41:35 »
nebo zkus wireshark, tam je to odchytavani pekne graficky.. je i v repozitarich..

ubuntu luky

  • Host
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #2 kdy: 07 Květen 2008, 11:15:48 »
nebo v "netstat -l" uvidis v sekci internetovy pripojeni jaky mas otevreny porty a podle toho mozna taky na neco prijdes tam to ale neni podle procesu teda. docela by me zajimalo ale jak se ti neco takovyho usadilo v systemu protoze normalni to urcite neni aby se sami stahovali takovy objemy dat  :)
« Poslední změna: 07 Květen 2008, 11:27:03 od ubuntu luky »

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #3 kdy: 07 Květen 2008, 13:39:10 »
Dekuji vsem za reakce.
Az se mi to znovu projevi, tak zkusim postupne vsechny zde navrhnute postupy a snad neco vyleze ;)
Taky by me hrozne zajimalo co to muze delat. Uvidime.
Jeste jednou diky.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 4994
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #4 kdy: 07 Květen 2008, 16:08:29 »
Ono to ani tak nemusí být nic lokálního, jako třeba šílený UDP provoz od souseda, uvidíte.
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #5 kdy: 08 Květen 2008, 22:10:46 »
No tak se asi jedna o to, co rikal Merlin.
Podle vypisu z iptraf se jedna o UDP pakety, ktere jdou z pocitace v lokalni siti na cilovy pocitac nekde venku. Neni to tedy (doufam) nic lokalniho a nejedna se tedy o zadne napadeni pocitace. Ted jen jak se toho zbavit?

Pokud pouziju tcpdump, tak po svem skonceni vyhodi neco jako tohle:
Kód: [Vybrat]
2442 packets captured
21817 packets received by filter
19296 packets dropped by kernel
Chapu to tedy tak, ze vsechny ty prichozi pakety zahazuje a neposila je dal?

Edit: Podle Wiresharku je cilovou sluzbou tohle:
Kód: [Vybrat]
Destination port: search-agent (1234)
« Poslední změna: 08 Květen 2008, 22:21:25 od Zelvuska »

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 4994
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #6 kdy: 08 Květen 2008, 22:54:04 »
port 1234? Ten je dost často využívaný nějakým streamingem - např. TV nebo tak něco. Pokud to jde zevnitř ven, tak to zcela určitě soused není. Mimochodem - UDP port dost často využívají viry a jiná havěď. Co je to za PC ten vevnitř?

TCPDump ty pakety zachytává, ale nemění, takže se nebojte, že přijdete o nějaká data.
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #7 kdy: 09 Květen 2008, 09:12:34 »
Nemyslel jsem to tak, ze to ten TCPDump zahazuje, ale ze podle toho, ze nemam zadny odchozi provoz a podle toho "dropped by kernel" se zda, ze se to vsechno zahazuje...
Ta televize by to mohla byt, mozna to nekdo streamuje. Tim padem polozim trochu OT dotaz: Jak muzu tenhle stream zachytit?
Ten vnitrni PC je jiny studentsky pocitac (vnitrni siti je nase kolej), je to to, co jste chtel vedet?
Dekuju za pomoc :)

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 4994
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #8 kdy: 09 Květen 2008, 10:38:11 »
no nejjednodušeji zkuste
Kód: [Vybrat]
sudo apt-get install vlc
vlc udp://@

Je možné, že to streamuje blbě jako broadcast na celý subnet a ne jen na určitý PC. V tom případě to má ale blbě nastavené :D
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje
« Odpověď #9 kdy: 10 Květen 2008, 18:52:06 »
Tak mi to nejak nefunguje...
At dam
Kód: [Vybrat]
udp://@ nebo
Kód: [Vybrat]
udp://@ip adresa na kterou to posilatak se vlc tvari, ze nic nedostava, tak netusim cim to muze byt...
Nu nevadi. Dekuju vam vsem za pomoc pri reseni :)

Edit: Tak ve Windows (na jinem pocitaci teda) to pri stejnem nastaveni normalne funguje :(
Edit 2: Tak uz mi to chodi... mel sem to blokovane ve firewallu... Predpokladal sem, ze to blokovane neni, kdyz se mi to objevuje v aktivite... No nic, hlavne ze to je uz vyresene :)

Muzete to teda zamknout. Karmu sem naklikal vsem, protoze ste si to zaslouzili ;-)
« Poslední změna: 10 Květen 2008, 20:04:13 od Zelvuska »

ubuntu luky

  • Host
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #10 kdy: 11 Květen 2008, 20:17:15 »
no vse je vyresene takze to edituju  :) kazdopadne mega prichozich dat za sekundu by me asi stvalo teda  :D paklize mas ale dostatecne rychly internet a nijak te to neomezuje tak je to ok. ja sem pripojenej normalne pres kabel a vzdy to bylo ok pak sem si vsim ze preze me taky chodi strasny hafo broadcast paketu jenze takovy hafo ze mi plno pripojeni koncilo timeoutem takze ja nechapu jakotze se nekdy muze stat ze je to tak zahusteny kdyz to vzdycky bylo ok a normalne semtam prijde jeden paket dva ale ja taky dostaval treba pet tisic za sekundu... ale adresati byli ruzny ipcka. takze nevim jak je to technicky reseny nevadi
« Poslední změna: 11 Květen 2008, 20:47:25 od ubuntu luky »

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 4994
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #11 kdy: 11 Květen 2008, 20:50:58 »
no vse je vyresene takze to edituju  :) kazdopadne mega prichozich dat za sekundu by me asi stvalo teda  :D paklize mas ale dostatecne rychly internet a nijak te to neomezuje tak je to ok. ja sem pripojenej normalne pres kabel a vzdy to bylo ok pak sem si vsim ze preze me taky chodi strasny hafo broadcast paketu jenze takovy hafo ze mi plno pripojeni koncilo timeoutem takze ja nechapu jakotze se nekdy muze stat ze je to tak zahusteny kdyz to vzdycky bylo ok a normalne semtam prijde jeden paket dva ale ja taky dostaval treba pet tisic za sekundu... ale adresati byli ruzny ipcka. takze nevim jak je to technicky reseny nevadi

No záleží na typu a velikosti sítě. UDP provoz je pěkná mrcha, protože si hledá cestu vpodstatě sám, blbě se i shapuje. Jinak bych to asi řešil firewallem - např. bych zablokoval IPečka, která nejvíce obtěžují.
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

ubuntu luky

  • Host
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #12 kdy: 11 Květen 2008, 20:57:34 »
No tedka jsem si uvedomil ze UDP neni ARP teda ty synchronizacni pakety takze v mych ocich je to stejne neuveritelny aby pres zelvicku chodilo tolik UDP paketu protoze UDP je vlastne totez co TCP s tim rozdilem ze UDP protokol neceka na odpoved ale nejsem architekt sitovy topologie takze nevim. Ze si UDP hleda cestu sam.. rikam no ja nevim ja bych rek ze takhle site nefungujou ale treba jo  :D. Je to zvlastni rozhodne by ty pakety nemely takhgle pres nikoho chodit si myslim prijde mi to zvlastni, leda kdyby se ten dotycny pocitac stal serverem treba kdyz pusti nejakej ten program na P2P Skype to pry taky dela atd.

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #13 kdy: 11 Květen 2008, 21:08:29 »
No ja tomu teda taky moc nerozumim, ale myslim si, ze to je multicastove vysilani (nejaka dobra duse streamuje MS :) ) A tim padem mi z toho vyslo, ze takovehle objemy dat jsou docela dobre mozne, ono posilat obraz neni asi zadna sranda... Ja sem se totiz mylil v urceni cilove adresy. Ona neni mimo nasi sit, ale je to prave adresa rezervovana pro multicasty (nevim presne, nekde sem to vycetl, ale ted to zrovna nemuzu najit, tak me kdyztak opravte...).

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 4994
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #14 kdy: 11 Květen 2008, 21:14:59 »
Ze si UDP hleda cestu sam.. rikam no ja nevim ja bych rek ze takhle site nefungujou ale treba jo  :D.
To bylo řečeno s trochou nadsázky - vtip je ten, že bývá dost běžný (alespoň co já řeším) UDP tok na broadcast/multicast, díky čemuž se tok může spustit i po jiné bráně než té, která je toku určená.

Zelvuska: 1Mbit není na obraz nic moc :) Jinak info o multicastových adresách je na http://en.wikipedia.org/wiki/Multicast_address ovšem tuším spíše, že se jednalo o broadcast adresu v nějakém subnetu (koncová IP subnetu)
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Zelvuska

  • Návštěvník
  • *
  • Příspěvků: 85
  • Karma: +6/-0
    • Zobrazit profil
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #15 kdy: 11 Květen 2008, 21:19:15 »
Merlin: Jak rikam, nerozumim tomu :) A presne to byla ta stranka, kterou sem hledal... Podle toho to byla jedna z vyhrazenych adres pro multicast na LAN...

ubuntu luky

  • Host
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #16 kdy: 11 Květen 2008, 21:28:14 »
takze je to cely o nastaveni brany ke ktery jsou ucastnici pripojeni v ty jejich siti

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 4994
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: Velky provoz na sitovce a firewall nic neukazuje [vyřešeno]
« Odpověď #17 kdy: 11 Květen 2008, 21:33:16 »
ubuntu luky: ne úplně - na subnetu může být i více bran (někdy i nechtěně) a pokud klient bcastuje, tok jde i přes ně. Případně se řeší přesně to, co tady - jiný klient má na PC velký traffic. Občas to taky dělá problémy levnějším domácím routerům, které prostě nezvládnou tak velký tok (více klientů v subnetu bcastuje).
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová