Виж темите без отговор | Виж активните теми
Дата и час: Чет Мар 28, 2024 11:03 pm
флуд с пакети с дължина 0
Автор |
Съобщение |
lcr
Ранг: Форумен бог
Регистриран на: Пон Май 12, 2014 10:49 pm Мнения: 4379 Местоположение: София
|
Re: флуд с пакети с дължина 0
Що се касае до бизнес услуги, имам поглед върху дейността на бтк и тази на ментел. Като стабилност на услугите, не бих могъл да направя разлика. Основната разлика е в мониторинга от тяхна страна. При бтк мога да го нарека нулев. При ментел - доста по-добър, чак досаден. Другата разлика е в квалификцията на подържашия им персонал по провинцията (по-малките населени места). Ментел биват, но бтк са трагедия. Омръзнало ми да обяснявам на некой си байно, що е това нещо пач-панел и как се "връзват жила" на него.
|
Пон Ное 04, 2019 5:19 pm |
|
|
palavrov
Ранг: Форумен бог
Регистриран на: Вто Окт 11, 2011 10:53 pm Мнения: 4174 Местоположение: Brussels / Пловдив
|
Re: флуд с пакети с дължина 0
Я постни няколко такива пакета?
Да не би да е някакъв завоалиран начин за комуникация с бот мрежа ... т.е. ако изключим варианта да се пращат поради някаква грешка все трябва да има някаква причина някой да си прави труда да организира целия театър.
(Извинявай за офтопика по горе)
_________________ Мразя да мразя ...
|
Пон Ное 04, 2019 5:26 pm |
|
|
ДедоБоре
Ранг: Форумен бог
Регистриран на: Нед Ное 21, 2004 10:31 pm Мнения: 9635
|
Re: флуд с пакети с дължина 0
в момента са се кротнали хиените нещо, тихо и спокойно е | | | | Код: 17:33:37.768398 IP (tos 0x28, ttl 52, id 57683, offset 0, flags [DF], proto TCP (6), length 40) ec2-54-93-152-59.eu-central-1.compute.amazonaws.com.49798 > ***.smtp: Flags [S], cksum 0x0203 (correct), seq 3743006840, win 29200, length 0
17:33:49.832498 IP (tos 0x28, ttl 65, id 15320, offset 0, flags [DF], proto TCP (6), length 40) ec2-52-58-140-147.eu-central-1.compute.amazonaws.com.48338 > ***.smtp: Flags [S], cksum 0xf002 (correct), seq 1257667099, win 29200, length 0
17:33:50.632736 IP (tos 0x28, ttl 65, id 9021, offset 0, flags [DF], proto TCP (6), length 40) ec2-54-93-152-59.eu-central-1.compute.amazonaws.com.41067 > ***.smtp: Flags [S], cksum 0x763f (correct), seq 2581836685, win 29200, length 0
17:33:53.178555 IP (tos 0x28, ttl 49, id 35914, offset 0, flags [DF], proto TCP (6), length 40) ec2-52-57-6-67.eu-central-1.compute.amazonaws.com.36526 > ***.smtp: Flags [S], cksum 0x6bb2 (correct), seq 1729468098, win 29200, length 0 | | | | |
вчера за около 10 минути ~10К пакета от 47.74.0.0/16 и 47.75.0.0/16 (не пазя пълния дъмп). формално са на различни собственици. трафика е едва няколко мегабайта
|
Пон Ное 04, 2019 6:14 pm |
|
|
HCL
Ранг: Форумен бог
Регистриран на: Вто Дек 14, 2004 12:31 pm Мнения: 3282
|
Re: флуд с пакети с дължина 0
Това ЕС2 на Амазон ти ли си? Понеже го дава 52.57.... защо не се обърнеш към техния съпорт направо.
|
Пон Ное 04, 2019 7:17 pm |
|
|
ДедоБоре
Ранг: Форумен бог
Регистриран на: Нед Ное 21, 2004 10:31 pm Мнения: 9635
|
Re: флуд с пакети с дължина 0
не, това иде от там. мойто е *** малък клъц, само за няколко минути. днес търчах по други задачи и не съм зяпал особено. с амазона може и да има сценарии. но с alicloud (примерно), които се водят с китайска собственост, хостват се в Калифорния, с офис в апартамент в Аризона? или испански собственик, с адрес в Италия, с регистрация на мрежата в Белиз...
|
Пон Ное 04, 2019 7:23 pm |
|
|
palavrov
Ранг: Форумен бог
Регистриран на: Вто Окт 11, 2011 10:53 pm Мнения: 4174 Местоположение: Brussels / Пловдив
|
Re: флуд с пакети с дължина 0
Това SMTP не е ли съмнително? Нямаш ли hex дъмп на целия пакет - примерно с wireshark?
_________________ Мразя да мразя ...
|
Пон Ное 04, 2019 10:11 pm |
|
|
ДедоБоре
Ранг: Форумен бог
Регистриран на: Нед Ное 21, 2004 10:31 pm Мнения: 9635
|
Re: флуд с пакети с дължина 0
e, какъв дъмп на пакет с големина 0? (за payload говоря) това е от tcpdump -vv на ниво IP, не че има шанс да цъфне не-ТСР пакет. smtp е защото гледам само тези пакети (там си върви мейл сървър)
нормално е да дойде SYN, да му се отговори със SYN+ACK и после клиента да прати ACK, че е получил SYN+ACK. напълно легитимен обмен, известен като 3 way handchake. тези пакети са с големина 0, няма полезни данни, освен флаговете. това се обслужва от стека. до по-високо ниво (сървър) такъв пакет може и да не достига, но предполагам, че и най-начинаещия софтуерист ще започне обработката с if (payload_size>0) ... това, което ме озадачава е, че такива пакети пристигат масирано от различни (свързани) IP-та с неясна за момента цел. нищо особено не се е случило, просто споделям озадачението си.
|
Вто Ное 05, 2019 7:49 am |
|
|
741
Ранг: Форумен бог
Регистриран на: Вто Сеп 15, 2009 9:44 am Мнения: 1034
|
Re: флуд с пакети с дължина 0
Може да са атаки към мрежите, чиито айпита виждаш. Примерно, заливат сървъри от тези мрежи със SYN пакети с фалшиви айпита, сред които попада и твоето и при теб пристига отговор на атакуваната мрежа (SYN+ACK), или на теб ти пращат SYN пакети от името на тези мрежи, с надеждата да отговориш и твоите SYN+ACK пакети наред с останалите като теб да залеят целите. Първото е класическа SYN flood атака, второто мисля е по-малко вероятно.
|
Вто Ное 05, 2019 10:49 am |
|
|
palavrov
Ранг: Форумен бог
Регистриран на: Вто Окт 11, 2011 10:53 pm Мнения: 4174 Местоположение: Brussels / Пловдив
|
Re: флуд с пакети с дължина 0
Е, точно за флаговете ми беше интересно дали няма нещо съмнително.
Ако е SYN flood малко странно идва като се банне един сегмент пакетите да продължават да идват от друг ... или е някакво съвпадение което го тълкуваме грешно.
_________________ Мразя да мразя ...
|
Вто Ное 05, 2019 11:01 am |
|
|
nik
Ранг: Форумен бог
Регистриран на: Сря Мар 22, 2006 2:25 am Мнения: 6004
|
Re: флуд с пакети с дължина 0
https://forums.aws.amazon.com/thread.js ... dID=217724от тая мания за слухтене се нароиха хиляди ви пи ен услуги, които ги ползват или само балъци или най вече тарикати дали не е някакъв полу работещ вилтър на ви пи ен-а който орязва съдържанието но пропуска пакета празен?
|
Вто Ное 05, 2019 2:27 pm |
|
|
palavrov
Ранг: Форумен бог
Регистриран на: Вто Окт 11, 2011 10:53 pm Мнения: 4174 Местоположение: Brussels / Пловдив
|
Re: флуд с пакети с дължина 0
Дедо, какво стана? Спря ли флуд-а?
_________________ Мразя да мразя ...
|
Пон Ное 11, 2019 5:21 pm |
|
|
ДедоБоре
Ранг: Форумен бог
Регистриран на: Нед Ное 21, 2004 10:31 pm Мнения: 9635
|
Re: флуд с пакети с дължина 0
на приливи и отливи е... понякога няма флуд, понякога наливат. на различни адреси е различно.
броячите стоят на кротки нива - по няколко мегабайта (3 до 5) дошли пакети на мрежа. може пък и админите отсреща да са им обърнали внимания. така или иначе в момента имам други (спешни) задачи и не съм обръщал много внимание на тази случка.
|
Пон Ное 11, 2019 5:38 pm |
|
|
Кой е на линия |
Потребители разглеждащи този форум: Google [Bot] и 14 госта |
|
Вие не можете да пускате нови теми Вие не можете да отговаряте на теми Вие не можете да променяте собственото си мнение Вие не можете да изтривате собствените си мнения Вие не можете да прикачвате файл
|
|