Freesco, NND, CDN, EOS

Tak tak nie pomyliem sie . Wczoraj z Mateuszem doszlismy do takiego wniosku. Otoz od pewnego czasu serwer ma ogromny przyrost ilosci polączeń w tej chwili po 4 dobach ma 11,5k połączeń (http://80.53.244.234/stat/ilosc.html). Mateusz zasugerował komende
cat /proc/net/ip_conntrack | wc -l zliczylo i wyszlo 11,5k
nastepnie wynik zrzucilem do pliku i wyglada on nastepujaco:

tcp 6 406570 ESTABLISHED src=192.168.0.1 dst=192.168.0.13 sport=54194 dport
tcp 6 387812 ESTABLISHED src=192.168.0.1 dst=192.168.0.3 sport=38377 dport=
tcp 6 353432 ESTABLISHED src=192.168.0.1 dst=192.168.0.13 sport=39058 dport
tcp 6 323101 ESTABLISHED src=192.168.0.1 dst=192.168.0.7 sport=41909 dport=
tcp 6 288509 ESTABLISHED src=192.168.0.1 dst=192.168.0.12 sport=50401 dport
tcp 6 269070 ESTABLISHED src=192.168.0.1 dst=192.168.0.3 sport=58946 dport=
tcp 6 238176 ESTABLISHED src=192.168.0.1 dst=192.168.0.4 sport=43327 dport=
Przyrost zauwazylem po tym jak musialem przepiac modem z TPSA do HUBA, a Hub jest wpiety do słicza i dopiero ze słicza ida kabelki do Serwera. Czy ktos sie spotkal z czyms takim ?

Z PODOBNYM czymś ja się spotkałem. Kaza lub bittorrent po podłaczeniu się do serwera w internecie daje namiary na swój ip i np. po wyłaczeniu kompa z 192.168.0.10 DALEJ idą pingi czy inne próby nawiązania kontaktu do tego komputera. Przebijają się przez NAT. Nawet miałem zamiar zapytać zCiecha jak wyłączyć pakiety z adresem do 192.168.0.10 ale mi jakoś zleciało. Jak ktoś ma ochotę to mozna to łapać snort'em.

Jednym zdaniem: coś podobnego mam po nawiązaniu przez komp z sieci kontaktu w internecie.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

No niby ok ale wczesniej ludzie tez uzywali ustrojstwa i nie bylo takich problemów. Może jakiś tips jak sprawdzić która wsza rozpoczyna całą tą zabawę z zapychaniem ?

Sorry, że piszę tak odmiennie (to chyba z powodu odmiennego myślenia).

Zainstaluj Snorta http://www.pitsoft.pl/nnd/.
Trzeba przy tym troche uważać co się robi

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Teoria : Wysłać pakiet z adresem docelowym Twojego DSL'a, podmieniając adres źródłowy na 192.168.0.255. Serwer odpowie wszystkim hostom z podsieci ? Rozwiązanie - zablokować na interfejsie zewnętrznym wszystkie pakiety z adresem źródłowym sieci wewnętrznej ?. To tylko domniemania.

_________________
RaaDaaR
http://www.freesco.internetdsl.pl

Hmm szukalem szukalem i nie znalazlem

RaaDaaR'q no ja Cie baardzo lubie ale jak do jasnej cholery mam wykonac to cos powyzej naskrobal ??

u mnie jest to samo- nic nie zmieniałem od 3miesięcy a wcześniej tego nie było, to nie wina huba. Co ciekawsze router "atakuje" mi kompy które nie instnieją- mam na razie 40 osób (ujęte w masq, htb, firewall) a on sieje po całej klasie!

_________________
mutaz

kolego a sprawdz ilosc polonczen serwera ale bez włączonych statystyk mtgr chodzi dokładnie o ilość komputerów online nie jestem expertem ale tez miałem ten pomiar i doszedlem do wniosku ze serwer wysyła pakiety zeby sprawdzic obecność komputerów.

_________________
Jarek

BINGOOO