[byfly] Сканирование портов?

lizard · Сообщение **lizard** » 10 ноя 2006, 00:06

Как я уже упоминал здесь, подключился на байфлай. Всё бы хорошо, но как-то обратил внимание на монитор трафика в gkrellm'e. Крелл загрузки канала на интерфейсе eth0 периодически показывал всплески активности, когда я ничего не делал- вот сижу, пишу, а оно опять

Сначала думал, что это dhcp-сервер модема чудит. Отключил и настроил сеть ручками. Не помогло- сетевая активность сохранилась. Тут я обеспокоился и запустил tcpdump -i eth0. Подождал и посмотрел лог. Сначала шли такие пакеты:

Код: Выделить всё

21:55:29.049736 PPPoE PADI [Service-Name] [Host-Uniq "2041"] [AC-Cookie 0x3A0953F19BDDCCAF2934DB015E22DD50] и много-много хекс-кодов...

Как я понял, это ещё не криминал. Что-то типа dns-запросов?
А вот потом начинается подобное:

Код: Выделить всё

21:56:05.885893 PPPoE  [ses 0x1c63] IP 65.Red-83-54-241.dynamicIP.rima-tde.net.4662 > unknown.telecom.gomel.by.28088: . 532500270:532501722(1452) ack 122171415 win 65535

И модем, бывает, матерится (ну, тут уже и так понятно):

Код: Выделить всё

<9> kernel: Intrusion -> IN=ppp_0_33_1 OUT= MAC= SRC=86.57.145.165
DST=86.57.138.203 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=18219 DF
PROTO=TCP SPT=1195 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0

Вот что у меня с файерволлом на рабочей станции:

Код: Выделить всё

# Generated by iptables-save v1.2.11 on Thu Nov  9 22:28:21 2006
*filter
:INPUT DROP [30:1896]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1199:163907]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT

А вот что на модеме:

Код: Выделить всё

> iptables -L
Chain INPUT (policy ACCEPT) # а если сделать policy DROP?
target     prot opt source               destination         
ACCEPT     2    --  anywhere             anywhere            
FWINPUTChain  all  --  anywhere             anywhere            
RAChain    all  --  anywhere             anywhere            
ReaimINPUTChain  all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' 
DROP       all  --  anywhere             anywhere            
DROP       all  --  anywhere             86.57.138.18        
DROP       all  --  anywhere             192.168.1.1         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             224.0.0.22   # RTFM :?: 
ACCEPT     all  --  anywhere             224.0.0.22          
ACCEPT     all  --  anywhere             224.0.0.2           
ACCEPT     all  --  anywhere             224.0.0.1           
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
VSChain    all  --  anywhere             anywhere            
FWChain    all  --  anywhere             anywhere            
DmzChain   all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' 
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DmzChain (1 references)
target     prot opt source               destination         

Chain FWChain (1 references)
target     prot opt source               destination         

Chain FWINPUTChain (1 references)
target     prot opt source               destination         

Chain RAChain (1 references)
target     prot opt source               destination         

Chain ReaimINPUTChain (1 references)
target     prot opt source               destination         

Chain VSChain (1 references)
target     prot opt source               destination

Вот. Можно ли (нужно ли) что-то предпринять? В службу техподдержки я уже написал, но пока ответа нет. А трафика жалко, его и так мало.

Llama · Сообщение **Llama** » 10 ноя 2006, 12:01

lizard, если биллин на байфлае писан не лохами, то он будет считать не траффик на порту а траффик проходящий через маршрутизатор. Соответсвенно внутрисетевых всплесков траффика боятся ИМХО не стоит.

invox · Сообщение **invox** » 10 ноя 2006, 12:50

lizard, у тебя pppoe соединение устанавливает комп или модем?
Т.е., модем работает бриджом или роутером.

Если первое, то tcpdump на eth-интерфейсе будет показывать мусор, это нормально. Тогда слушать надо ppp0.

Биллинг по идее должен считать байты ppoe-соединения

lizard · Сообщение **lizard** » 10 ноя 2006, 21:02

Llama, спасибо, обнадёжил

Но хочется разобраться.
PPPoE устанавливает модем. На модеме NAT. Вот вывод ifconfig'a:

Код: Выделить всё

br0             Link encap:Ethernet  HWaddr 00:16:E3:5D:C4:B5  
                inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
                UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
                RX packets:2860 errors:0 dropped:0 overruns:0 frame:0
                TX packets:1830 errors:0 dropped:0 overruns:0 carrier:0
                collisions:0 txqueuelen:0 
                RX bytes:237640 (232.0 KiB)  TX bytes:985486 (962.3 KiB)

eth0            Link encap:Ethernet  HWaddr 00:16:E3:5D:C4:B5  
                UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                RX packets:2017 errors:0 dropped:0 overruns:0 frame:0
                TX packets:23980 errors:0 dropped:0 overruns:0 carrier:0
                collisions:0 txqueuelen:1000 
                RX bytes:235154 (229.6 KiB)  TX bytes:12673182 (12.0 MiB)
                Interrupt:23 Base address:0x2800 

nas_0_33        Link encap:Ethernet  HWaddr 02:16:E3:5D:C4:B5  
                UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                RX packets:24592 errors:0 dropped:0 overruns:0 frame:0
                TX packets:2689 errors:0 dropped:7 overruns:0 carrier:0
                collisions:0 txqueuelen:1000 
                RX bytes:12278626 (11.7 MiB)  TX bytes:297369 (290.3 KiB)

ppp_0_33_1      Link encap:Point-Point Protocol  
                inet addr:86.57.136.243  P-t-P:82.209.213.109  Mask:255.255.255.255
                UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1492  Metric:1
                RX packets:14 errors:0 dropped:0 overruns:0 frame:0
                TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
                collisions:0 txqueuelen:3 
                RX bytes:1572 (1.5 KiB)  TX bytes:54 (54.0 B)

ppp_0_33_1 - pppoe-соединение. br0 - от модема до меня. Как я понял, схема соединения такова:
Я (192.168.1.2) <-> { br0 (192.168.1.1) <-> eth0 <-> nas_0_33 <-> ppp_0_33_1 (86.57.136.243) } <-> Сервер провайдера (82.209.213.10), а 82.209.213.109 - мой внешний ip. В фигурных скобочках - то, что происходит внутри модема.
Я пользовался VPN-соединением, которое устанавливалось с компа, когда был в Минске (домашняя локалка + Белинфонет и Деловая сеть). Но там подобной картины со сканами не наблюдалось- если сам ничего не трогаешь, то на ppp-интерфейсе глухо, ни байта не проскакивало. И трафик легче считать было.
А здесь хуже. На модеме считалки трафика нету (если, конечно, не заходить телнетом в конце сеанса смотреть вывод ifconfig'a по pppoe).
Может, добавить какое-нибудь правило в цепочку FORWARD для интерфейса ppp_0_33_1?