Странен проблем с udp пакети

[rosen4o]

Здравейте,

Имам малко странен проблем в мрежата се наблюдават няколко потребителя които изпращат много udp пакети и на моменти пинга се вдига. Мисля си че имат някакъв вирус който прави udp spoofing. Какво е вашето преположение? Ако е udp спуфинг мога ли да го огранича в МТ и как

Пакетите изглеждат така:

No.     Time        Source                Destination           Protocol Info

      1 0.000000    xxx.xxx.xxx.xxx         88.25.128.228         UDP      Source port: 44873  Destination port: 63709


Frame 1 (499 bytes on wire, 499 bytes captured)

Linux cooked capture

Internet Protocol, Src: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), Dst: 88.25.128.228 (88.25.128.228)

User Datagram Protocol, Src Port: 44873 (44873), Dst Port: 63709 (63709)

Data (455 bytes)


0000  00 00 02 00 00 00 00 00 00 00 00 00 00 00 08 00   ................

0010  45 00 01 e3 11 08 00 00 80 11 49 e3 d5 de 2f 43   E.........I.../C

0020  58 19 80 e4 af 49 f8 dd 01 cf b2 cb 0a 6f 02 cb   X....I.......o..

0030  38 1b 44 cc d8 c7 1e e3 bf a9 c3 c0 b2 77 7e 29   8.D..........w~)

0040  9c 9c 41 a8 9d 08 a6 fe ef 71 90 6a 10 36 c8 50   ..A......q.j.6.P

0050  67 83 e9 1f 79 9c 02 6d b2 ba 9e cd 70 cb a2 b7   g...y..m....p...

0060  2a 38 8c e1 10 ea c9 50 48 28 7e 4f 2c 13 52 04   *8.....PH(~O,.R.

0070  4a f4 47 0e b5 97 71 7f d4 32 b5 43 39 ab bb ab   J.G...q..2.C9...

0080  c2 65 13 d2 69 4d 29 43 3a c7 7c 0a 5e 6c 94 c0   .e..iM)C:.|.^l..

0090  f0 16 33 bf 6a fa 8c 66 4c 5d cc 57 53 31 bc 07   ..3.j..fL].WS1..

00a0  5b ad 8d a9 98 ba 1c 84 19 70 95 84 c0 e8 9f 07   [........p......

00b0  fb 17 d6 a1 b3 9e 4f e6 c6 2d c2 fb 16 92 81 35   ......O..-.....5

00c0  ff f6 60 07 36 78 88 4b bc 82 bd c2 24 96 eb 50   ..`.6x.K....$..P

00d0  5f 57 ad 85 a0 0a fa ab ed 34 66 47 50 e5 99 e8   _W.......4fGP...

00e0  42 6e d4 f6 cc d7 d2 80 e4 98 46 62 dd bd ce 71   Bn........Fb...q

00f0  53 7d b9 cd a2 7b 46 43 22 7a 2b f1 ec 33 8d 25   S}...{FC"z+..3.%

0100  5d 05 31 31 a1 fe 00 a5 ce b1 13 3c c6 a0 5e 9c   ].11.......<..^.

0110  e9 08 8e b1 53 4f 59 ab 04 42 48 c1 89 26 bd db   ....SOY..BH..&..

0120  64 cb 1b 1b 37 ed c5 42 dc 54 4a c8 a4 53 ad 3a   d...7..B.TJ..S.:

0130  52 41 06 70 29 9a 27 6a 5f 5e bd fa ac 72 b2 1c   RA.p).'j_^...r..

0140  d1 f1 7e fd 1d 0b b2 51 5f 92 6d ad a7 5b 47 af   ..~....Q_.m..[G.

0150  93 87 2f b6 7d 45 83 3f 83 dc 77 21 8d 66 10 4b   ../.}E.?..w!.f.K

0160  c8 b5 ef 92 87 00 a6 76 ba 9c 59 c7 d5 62 16 6b   .......v..Y..b.k

0170  16 20 6a a3 40 09 3e af 8f 3d ac b0 95 85 01 4a   . j.@.>..=.....J

0180  6a 50 dc 49 c4 51 e8 65 a2 9e 87 c1 b6 63 95 39   jP.I.Q.e.....c.9

0190  bd 72 58 33 dd 9c 1d 46 00 01 f7 92 01 6d 87 d0   .rX3...F.....m..

01a0  64 f9 83 91 b7 ef ac ea b1 0f ff d8 a5 dc 2f 1a   d............./.

01b0  56 98 62 a2 56 ff 70 8a 64 93 79 28 33 18 23 03   V.b.V.p.d.y(3.#.

01c0  2c 4a d5 ba 59 3c 93 46 2a 71 f3 de 0b 5f e3 e0   ,J..Y<.F*q..._..

01d0  4d 4f d8 ac 1e 9f d7 14 26 3a a4 e8 dd 53 22 a3   MO......&:...S".

01e0  66 10 0e 7b 96 6f f6 53 7f 9e b3 0b 95 76 4e 75   f..{.o.S.....vNu

01f0  7d 71 07                                          }q.


No.     Time        Source                Destination           Protocol Info

      2 0.000016    xxx.xxx.xxx.xxx         88.25.128.228         UDP      Source port: 44873  Destination port: 63709


Frame 2 (499 bytes on wire, 499 bytes captured)

Linux cooked capture

Internet Protocol, Src: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), Dst: 88.25.128.228 (88.25.128.228)

User Datagram Protocol, Src Port: 44873 (44873), Dst Port: 63709 (63709)

Data (455 bytes)


0000  00 04 00 01 00 06 00 30 48 85 5d c8 00 00 08 00   .......0H.].....

0010  45 00 01 e3 11 08 00 00 7f 11 4a e3 d5 de 2f 43   E.........J.../C

0020  58 19 80 e4 af 49 f8 dd 01 cf b2 cb 0a 6f 02 cb   X....I.......o..

0030  38 1b 44 cc d8 c7 1e e3 bf a9 c3 c0 b2 77 7e 29   8.D..........w~)

0040  9c 9c 41 a8 9d 08 a6 fe ef 71 90 6a 10 36 c8 50   ..A......q.j.6.P

0050  67 83 e9 1f 79 9c 02 6d b2 ba 9e cd 70 cb a2 b7   g...y..m....p...

0060  2a 38 8c e1 10 ea c9 50 48 28 7e 4f 2c 13 52 04   *8.....PH(~O,.R.

0070  4a f4 47 0e b5 97 71 7f d4 32 b5 43 39 ab bb ab   J.G...q..2.C9...

0080  c2 65 13 d2 69 4d 29 43 3a c7 7c 0a 5e 6c 94 c0   .e..iM)C:.|.^l..

0090  f0 16 33 bf 6a fa 8c 66 4c 5d cc 57 53 31 bc 07   ..3.j..fL].WS1..

00a0  5b ad 8d a9 98 ba 1c 84 19 70 95 84 c0 e8 9f 07   [........p......

00b0  fb 17 d6 a1 b3 9e 4f e6 c6 2d c2 fb 16 92 81 35   ......O..-.....5

00c0  ff f6 60 07 36 78 88 4b bc 82 bd c2 24 96 eb 50   ..`.6x.K....$..P

00d0  5f 57 ad 85 a0 0a fa ab ed 34 66 47 50 e5 99 e8   _W.......4fGP...

00e0  42 6e d4 f6 cc d7 d2 80 e4 98 46 62 dd bd ce 71   Bn........Fb...q

00f0  53 7d b9 cd a2 7b 46 43 22 7a 2b f1 ec 33 8d 25   S}...{FC"z+..3.%

0100  5d 05 31 31 a1 fe 00 a5 ce b1 13 3c c6 a0 5e 9c   ].11.......<..^.

0110  e9 08 8e b1 53 4f 59 ab 04 42 48 c1 89 26 bd db   ....SOY..BH..&..

0120  64 cb 1b 1b 37 ed c5 42 dc 54 4a c8 a4 53 ad 3a   d...7..B.TJ..S.:

0130  52 41 06 70 29 9a 27 6a 5f 5e bd fa ac 72 b2 1c   RA.p).'j_^...r..

0140  d1 f1 7e fd 1d 0b b2 51 5f 92 6d ad a7 5b 47 af   ..~....Q_.m..[G.

0150  93 87 2f b6 7d 45 83 3f 83 dc 77 21 8d 66 10 4b   ../.}E.?..w!.f.K

0160  c8 b5 ef 92 87 00 a6 76 ba 9c 59 c7 d5 62 16 6b   .......v..Y..b.k

0170  16 20 6a a3 40 09 3e af 8f 3d ac b0 95 85 01 4a   . j.@.>..=.....J

0180  6a 50 dc 49 c4 51 e8 65 a2 9e 87 c1 b6 63 95 39   jP.I.Q.e.....c.9

0190  bd 72 58 33 dd 9c 1d 46 00 01 f7 92 01 6d 87 d0   .rX3...F.....m..

01a0  64 f9 83 91 b7 ef ac ea b1 0f ff d8 a5 dc 2f 1a   d............./.

01b0  56 98 62 a2 56 ff 70 8a 64 93 79 28 33 18 23 03   V.b.V.p.d.y(3.#.

01c0  2c 4a d5 ba 59 3c 93 46 2a 71 f3 de 0b 5f e3 e0   ,J..Y<.F*q..._..

01d0  4d 4f d8 ac 1e 9f d7 14 26 3a a4 e8 dd 53 22 a3   MO......&:...S".

01e0  66 10 0e 7b 96 6f f6 53 7f 9e b3 0b 95 76 4e 75   f..{.o.S.....vNu

01f0  7d 71 07                                          }q.


No.     Time        Source                Destination           Protocol Info

      3 0.008494    xxx.xxx.xxx.xxx         61.27.79.101          UDP      Source port: 44873  Destination port: 26021


Frame 3 (465 bytes on wire, 465 bytes captured)

Linux cooked capture

Internet Protocol, Src: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), Dst: 61.27.79.101 (61.27.79.101)

User Datagram Protocol, Src Port: 44873 (44873), Dst Port: 26021 (26021)

Data (421 bytes)


0000  00 00 02 00 00 00 00 30 48 85 5d c8 00 00 08 00   .......0H.].....

0010  45 00 01 c1 11 09 00 00 80 11 96 81 d5 de 2f 43   E............./C

0020  3d 1b 4f 65 af 49 65 a5 01 ad a7 f5 0a 70 02 b0   =.Oe.Ie......p..

0030  94 8b e5 44 cc bd a0 2f 3a a1 43 df 12 db a6 33   ...D.../:.C....3

0040  22 41 48 a2 8d 9a 3d 07 fc aa 36 08 22 da 11 15   "AH...=...6."...

0050  0a b9 d4 b5 60 0a 45 20 6b 8f 3d de fd e5 04 aa   ....`.E k.=.....

0060  97 a3 eb 85 6e 6e 1a f6 4e 6b 57 fc 3e 1d fe 4b   ....nn..NkW.>..K

0070  c5 8b 21 8d 74 84 40 f7 01 3b 2f 48 23 f7 38 73   ..!.t.@..;/H#.8s

0080  86 3a 84 3d a9 f4 15 9b ff 60 c2 b1 99 20 2c 01   .:.=.....`... ,.

0090  1c 3e 55 92 e0 9a 0b f8 a7 cf 60 eb 3e 6b 2f a1   .>U.......`.>k/.

00a0  e5 ad de be e5 2f b0 cd e4 b8 fa 5f 3f aa 26 ad   ...../....._?.&.

00b0  e1 8c 78 e8 8a fb 41 91 b3 19 ee db 7f 92 24 7f   ..x...A.......$.

00c0  99 e2 5e 9e dd c9 5d 38 b5 54 81 73 38 52 33 29   ..^...]8.T.s8R3)

00d0  11 94 29 75 71 ee 89 5d 79 8d 72 f7 21 26 e6 67   ..)uq..]y.r.!&.g

00e0  08 48 0f 09 04 62 df b3 45 67 c0 3f ca 32 25 14   .H...b..Eg.?.2%.

00f0  97 e0 71 8d 89 31 d0 39 bf 2b ac 67 21 fd 01 6f   ..q..1.9.+.g!..o

0100  97 fb 6c ee 56 e2 8e 80 5a d0 d1 4c 6b 88 f6 61   ..l.V...Z..Lk..a

0110  af b8 7d 4a 44 ed 33 e0 ec 91 f6 64 28 3c 20 7e   ..}JD.3....d(< ~

0120  b5 6f 3a de c9 d1 49 88 44 c8 f7 9f fe b1 b4 d2   .o:...I.D.......

0130  5a 7d 43 f8 a0 00 51 6e 88 ca 35 6a b8 0f 27 de   Z}C...Qn..5j..'.

0140  bc 85 1e a3 ab e4 5b e6 ed 70 25 49 37 23 2b 7a   ......[..p%I7#+z

0150  89 39 68 7c 6c df 25 aa fb ee 3e 99 b6 06 a0 99   .9h|l.%...>.....

0160  75 8a 58 ea 34 66 63 3e a4 ff 14 86 d5 90 2e 28   u.X.4fc>.......(

0170  0f 01 d4 94 b9 30 ba 3d 14 83 b2 59 03 1b 8d 69   .....0.=...Y...i

0180  1e bd ce a5 79 91 f2 68 12 8c 43 db d6 f6 59 63   ....y..h..C...Yc

0190  fd 7c 6f bc 5e a3 82 ef 35 c3 a0 76 1c 2a 48 db   .|o.^...5..v.*H.

01a0  02 1f 3e d4 e8 bb e5 6e 01 05 b6 c8 66 dc a5 20   ..>....n....f.. 

01b0  6c 76 f4 b1 38 a6 ce 4c 77 fa 6f 27 c2 7e aa b8   lv..8..Lw.o'.~..

01c0  1f 82 58 34 c3 61 00 af 88 6c 34 95 76 45 c6 dd   ..X4.a...l4.vE..

01d0  ad                                                .

[111111]

първа стъпка тел. обаждане с предупреждение 

втора стъпка физическо откачване от мрежата

до отстраняване на софтуерната неизправност при тях

или им изчистваш машините и таксуваш както следва 

[gbdesign]

Преди месец и аз имах проблем с един клиент, дето пускаше 10 мегабита UDP трафик към някакви щатски IP-та на неработещи машини....блокирах абоната на първият Смарт Суич за да не стига бозата до рутера и го информирахме, че ще го пуснем когато си разкара вирусите. Цяла седмица продължи да си бълва пакети.

[rosen4o]

А ти какъв начин за намирането му използва?

tcpdump + wireshark???

[gbdesign]

Графиките от умните суичове през Cacti, са ми най удобни за индикиране на проблеми. Често бозите излизащи от някоя кочинка, биват отрязани от някой от 2-3 -те умни суича по пътя им към рутерите. tcpdum пък ми разказва за какво точно иде реч. Обаче сегментите са ми големички /2 С клас на сегмент/ и ако пусна tcpdum на целият интерфейс и на всички портове, нищо няма да открия. Ползвам също iftop  и iptraf за по-бързо откриване на вредителя. Също така и имам и едни скриптчета, вързани с управляващият софтуер и следящи за екцесии по предварително зададени портове /445, 25, 131-139 и т.н./

[NetworkPro]

Някои от тези може да са на uTorrent новия p2p проткол върху UDP който си върви.... пък някои са и криптирани p2p ... човека като сиплаща ... може просто да го шейпнеш а на неговия UDP трафик да дадеш нисък приоритет.

Лично аз бих натиснал да проверя кой процес генерира трафика на машината му, за да се обедя че не е нещо нормално като p2p ,преди да го отрежа съвсем.

[gbdesign]

То а ако трафика отиваше някъде, нямаше да го спирам, ама той само до рутера ми и се покачваше непрекъснато

[NetworkPro]

До рутера и после дали не се рутира обратно към някой друг клиент?