Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

[+] Po

https://593930.wb34atkl.asia/viewtopic.php?t=10936

Strona 1 z 1

[+] Połączenia z obcymi ip bez mojej wiedzy

: 09 grudnia 2008, 18:28
autor: lis6502
Lekko panikuję pewnie, ale wolę zapytać się o opinię kogoś, kto ma większe doświadczenie w sieciach (ja w skali od 1 do 10 mam 0.1). Wczoraj zainstalowałem sobie tcpdump. Używałem kilku programów sieciowych, więc nie dziwiło mnie, że wydruk w konsoli cały czas zjeżdża w dół.
Dzisiaj coś chciałem pobrać z repozytorium, jak spojrzałem na prędkość transferu to aż się przeraziłem, niecałe 10 kb.
Wyłączyłem więc synaptica, włączam tcpdump i oczom nie wierze. Od groma połączeń.
Wklejam log żeby było wiadomo co i jak (mam nadzieję że nie muszę ukrywać swojego adresu w sieci lokalnej?). Poniższe zostało wykonane na gołym KDE, kadu wylogowane (offline) i wyłączone, kmail, ktorrent i akregator również.
Celowo zacząłem od opuszczenia i podniesienia interfejsów.

Kod: Zaznacz cały

root@Nexus:/home/lis6502# ifdown -a && ifup -a
There is already a pid file /var/run/dhclient.ath0.pid with pid 6477
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit [url]http://www.isc.org/sw/dhcp/[/url]

wifi0: unknown hardware address type 801
wifi0: unknown hardware address type 801
Listening on LPF/ath0/00:19:e0:84:0f:4d
Sending on   LPF/ath0/00:19:e0:84:0f:4d
Sending on   Socket/fallback
DHCPRELEASE on ath0 to 192.168.4.1 port 67
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit [url]http://www.isc.org/sw/dhcp/[/url]

wifi0: unknown hardware address type 801
wifi0: unknown hardware address type 801
Listening on LPF/ath0/00:19:e0:84:0f:4d
Sending on   LPF/ath0/00:19:e0:84:0f:4d
Sending on   Socket/fallback
DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5
DHCPOFFER from 192.168.4.1
DHCPREQUEST on ath0 to 255.255.255.255 port 67
DHCPACK from 192.168.4.1
bound to 192.168.2.103 -- renewal in 17646 seconds.
if-up.d/mountnfs[ath0]: waiting for interface eth0 before doing NFS mounts (warning).

Kod: Zaznacz cały

root@Nexus:/home/lis6502# tcpdump -i ath0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
18:16:04.026170 IP host-89-230-5-232.konstantynow.mm.pl.4662 > 192.168.2.131.1703: . 1890302795:1890304255(1460) ack 4042847365 win 65197
18:16:04.026772 IP 192.168.2.103.57512 > dns2.tpsa.pl.domain: 2317+ PTR? 131.2.168.192.in-addr.arpa. (44)
18:16:04.436583 IP sub243-145.elpos.net.4662 > 192.168.2.131.1810: . ack 3149164564 win 65362
18:16:05.037398 IP dns2.tpsa.pl.domain > 192.168.2.103.43178: 9168 NXDomain 0/1/0 (132)
18:16:05.037508 IP 192.168.2.103.51723 > dns2.tpsa.pl.domain: 58903+ A? sysinfo-project.pl. (36)
18:16:05.042013 arp who-has 192.168.2.26 tell 192.168.2.1
18:16:05.045265 IP 217.168.168.223.https > 192.168.2.72.1459: . ack 1097218584 win 6588
18:16:05.050414 IP dns2.tpsa.pl.domain > 192.168.2.103.57512: 2317 NXDomain* 0/1/0 (111)
18:16:05.050707 IP 192.168.2.103.36624 > dns2.tpsa.pl.domain: 45916+ PTR? 232.5.230.89.in-addr.arpa. (43)
18:16:05.052953 IP 217.168.168.223.https > 192.168.2.72.1460: S 3626057521:3626057521(0) ack 154343352 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 0>
18:16:05.060285 IP sub243-145.elpos.net.4662 > 192.168.2.131.1810: P 0:1032(1032) ack 1 win 65362
18:16:05.199638 IP w44-135.md4.pl.36621 > 192.168.2.131.1816: P 134467513:134467535(22) ack 35286020 win 36388
18:16:05.212570 IP 91-90-57-147.sttb.pl.45508 > 192.168.2.131.1808: P 115931885:115931983(98) ack 1182386631 win 65234
18:16:05.230838 IP ip-91-197-13-39.gadu-gadu.pl.https > 192.168.2.131.3855: . ack 440594004 win 5840
18:16:05.236091 IP dji59.neoplus.adsl.tpnet.pl.4662 > 192.168.2.131.1819: P 1593577927:1593577949(22) ack 2953234279 win 30249
18:16:05.239597 IP host-89-230-5-232.konstantynow.mm.pl.4662 > 192.168.2.131.1703: P 1460:2600(1140) ack 1 win 65197
18:16:05.246668 IP host-89-230-5-232.konstantynow.mm.pl.4662 > 192.168.2.131.1703: . 2600:4060(1460) ack 1 win 65197
18:16:05.249922 IP cpc1-rdng1-0-0-cust829.winn.cable.ntl.com.7252 > 192.168.2.131.1834: P 114667131:114667180(49) ack 244753667 win 65502
18:16:05.251530 IP piek-host-59-89.microchip.net.pl.35628 > 192.168.2.131.1844: S 2894522179:2894522179(0) ack 349872057 win 65535 <mss 1460,nop,nop,sackOK>
18:16:05.465037 IP abbn171.neoplus.adsl.tpnet.pl.8894 > 192.168.2.131.2365: . 1463818364:1463819814(1450) ack 2921829479 win 63964
18:16:05.469946 IP 77-252-53-41.komputex.net.25291 > 192.168.2.131.1840: S 1295886018:1295886018(0) ack 565918058 win 65535 <mss 1460,nop,nop,sackOK>
18:16:05.471199 IP abbn171.neoplus.adsl.tpnet.pl.8894 > 192.168.2.131.2365: P 1450:2600(1150) ack 1 win 63964
18:16:05.566194 IP 87-205-37-178.adsl.inetia.pl.4662 > 192.168.2.131.1818: P 3107302911:3107302966(55) ack 707344038 win 65214
18:16:05.567458 IP host-89-230-5-232.konstantynow.mm.pl.4662 > 192.168.2.131.1703: P 4060:5200(1140) ack 1 win 65197
18:16:05.569870 IP host66.154.31.78.cable.morena.jarsat.pl.20794 > 192.168.2.131.1827: P 560613015:560613126(111) ack 2219238035 win 65171
^C18:16:05.645302 IP 80.48.171.90.10208 > 192.168.2.131.1832: P 161489211:161489319(108) ack 1234737028 win 65334

26 packets captured
436 packets received by filter
356 packets dropped by kernel
root@Nexus:/home/lis6502#
Możecie się śmiać, ale ja naprawdę nie wiem o co w tym chodzi.
Dla pewności poszukałem przez

Kod: Zaznacz cały

ps aux|grep proces
procesów o nazwach torr, nic takiego nie chodzi.
Drugi komputer, któremu udostępniam internet stoi wyłączony (dla pewności ifconfig -a i porównałem tx bytes dla eth0; bez zmian). Połączenia wydają mi się podejrzane, bo głównie z Polski. Boję się :shock:
Nie mam żadnego serwera, jestem powiedzmy końcowym odbiorcą w sieci lokalnej.

: 09 grudnia 2008, 19:08
autor: elementall
Wpisz jako root:

Kod: Zaznacz cały

ss
pokaże ci aktualne połączenia.

: 09 grudnia 2008, 19:23
autor: lis6502
Nie mam go w systemie, pakietu o takiej nazwie też, więc częścią jakiego pakietu jest ss?

: 09 grudnia 2008, 19:34
autor: Utumno
1) Jakie jest twoje IP ? 192.168.2.131 ? Mowisz, ze twoj komp jest jedyny w tej sieci lokalnej a inny jest wylaczony, wiec jakim cudem widze tam jeszcze 192.168.2.1 i 192.168.2.103 ?

2) wyglada to na albo jakies P2P, albo na Sambe. Jestes pewien ze nic takiego nie chodzi?

: 09 grudnia 2008, 19:51
autor: lis6502
Mój to akurat 192.168.2.103 (mogę podać go publicznie i czuć się bezpiecznym?). Jestem pewien że nic nie chodzi, wszystkie p2p pozabijane, samba zdemonizowana i śpi (samby używam w swojej prywatnej 'sieci' ja- drugi komputer, wyłączony). Nie napisałem że jestem JEDYNY, napisałem że jestem na końcu, tzn router- ja- i nic więcej (chyba że załączę drugi komp). Adres mam taki jaki mam, bo mój ISP tak skonstruował tę sieć, sąsiad ma 192.168.2.stoileśtam.
Poczytałem trochę tego postu i może faktycznie jakiś switch gdzieś tam jest i wysyła pakiety do wszystkich? Nie za bardzo się w tym łapię, wstyd mi tak świecić niewiedzą; mogę prosić o linka do materiałów wyjaśniających podstawy? Mam na myśli coś sprawdzonego przez Was.
Postawiłem iftop'a i czuję się spokojniejszy, teraz widzę że jakiś ip z mojej podsieci łączy się z nasza-klasa, inny z jakimś hostem z neostrady itp.
No ale co z tym 'ss'?

: 10 grudnia 2008, 01:01
autor: Rad
lsof -i z roota.

: 10 grudnia 2008, 04:04
autor: Utumno
Eh. 192.168.2.103. Wiec wszystko jest w porzadku - na to ip idzie tylko pare pakietow DNSa, wszystko inne idzie na 131, ktory najprawdopodobniej sciaga cos przez P2P (widac nawet, ze gada przez GG). Oczywiscie ze tego rodzaju pakiety sa broadcastowane.

W takiech logach zwracac uwage tylko na linie typu:

Kod: Zaznacz cały

18:16:04.026772 IP 192.168.2.103.57512 > dns2.tpsa.pl.domain: 2317+ PTR? 131.2.168.192.in-addr.arpa. (44)
Tzn tylko na linie w ktorych wystepuje twoje IP.

Kod: Zaznacz cały

tcpdump -i eth0 | grep $TWOJE_IP
Twoje lacze wyglada mi na dzielona Neostrade.

: 10 grudnia 2008, 10:06
autor: lis6502
Rad, dzięki wielkie, brakowało mi tego polecenia. Nagle poczułem że jest dokąd zajrzeć. Jaka ulga ^_^.
Utumno, w przypływie paniki nawet nie wpadłem na to, by przekierować potok na grep'a. po prostu opuściłem interfejs, wykręciłem antenkę z karty sieciowej i podłączyłem modem z telefonu; trochę mi ulżyło.
Twoje lacze wyglada mi na dzielona Neostrade
Też się nad tym zastanawiałem, ale chyba tak nie jest. Tzn wydaje mi się że jest to usługa tepsy, jednak IP pod którym widzi mnie świat jest zawsze takie same. To chyba DSL, ale głowy nie dam, jak już pisałem nie za bardzo się znam na tym.
Dziękuję bardzo za rozjaśnienie mroku.

: 10 grudnia 2008, 14:02
autor: Utumno
Podobnie polecenie 'netstat' pokazuje stan polaczen sieciowych:

Kod: Zaznacz cały

man netstat
Np.

Kod: Zaznacz cały

netstat -aenp | grep -v unix
ladnie pokazuje wszystkie nasze demony, ktore nasluchuja na jakims porcie sieciowym, do jakiej sieci i jakie sa aktualnie polaczenia...

: 10 grudnia 2008, 16:10
autor: lis6502
Po raz kolejny dziękuję za informację. Nawet nie wiedziałem że posiadam takie coś jak netstat w systemie. Chyba wezmę się za Debian Reference, a wszelkie niejasności będę naświetlał Wikipedią.
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl