Отговори на тема  [ 27 мнения ]  Отиди на страница Предишна  1, 2
флуд с пакети с дължина 0 
Автор Съобщение
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Пон Май 12, 2014 10:49 pm
Мнения: 4379
Местоположение: София
Мнение Re: флуд с пакети с дължина 0
Що се касае до бизнес услуги, имам поглед върху дейността на бтк и тази на ментел.
Като стабилност на услугите, не бих могъл да направя разлика.
Основната разлика е в мониторинга от тяхна страна. При бтк мога да го нарека нулев. При ментел - доста по-добър, чак досаден.
Другата разлика е в квалификцията на подържашия им персонал по провинцията (по-малките населени места). Ментел биват, но бтк са трагедия. Омръзнало ми да обяснявам на некой си байно, що е това нещо пач-панел и как се "връзват жила" на него. :D


Пон Ное 04, 2019 5:19 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Окт 11, 2011 10:53 pm
Мнения: 4174
Местоположение: Brussels / Пловдив
Мнение Re: флуд с пакети с дължина 0
Я постни няколко такива пакета?

Да не би да е някакъв завоалиран начин за комуникация с бот мрежа ... т.е. ако изключим варианта да се пращат поради някаква грешка все трябва да има някаква причина някой да си прави труда да организира целия театър.

(Извинявай за офтопика по горе)

_________________
Мразя да мразя ...


Пон Ное 04, 2019 5:26 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: флуд с пакети с дължина 0
в момента са се кротнали хиените нещо, тихо и спокойно е

Код:
17:33:37.768398 IP (tos 0x28, ttl 52, id 57683, offset 0, flags [DF], proto TCP (6), length 40)
    ec2-54-93-152-59.eu-central-1.compute.amazonaws.com.49798 > ***.smtp: Flags [S], cksum 0x0203 (correct), seq 3743006840, win 29200, length 0

17:33:49.832498 IP (tos 0x28, ttl 65, id 15320, offset 0, flags [DF], proto TCP (6), length 40)
    ec2-52-58-140-147.eu-central-1.compute.amazonaws.com.48338 > ***.smtp: Flags [S], cksum 0xf002 (correct), seq 1257667099, win 29200, length 0

17:33:50.632736 IP (tos 0x28, ttl 65, id 9021, offset 0, flags [DF], proto TCP (6), length 40)
    ec2-54-93-152-59.eu-central-1.compute.amazonaws.com.41067 > ***.smtp: Flags [S], cksum 0x763f (correct), seq 2581836685, win 29200, length 0

17:33:53.178555 IP (tos 0x28, ttl 49, id 35914, offset 0, flags [DF], proto TCP (6), length 40)
    ec2-52-57-6-67.eu-central-1.compute.amazonaws.com.36526 > ***.smtp: Flags [S], cksum 0x6bb2 (correct), seq 1729468098, win 29200, length 0


вчера за около 10 минути ~10К пакета от 47.74.0.0/16 и 47.75.0.0/16 (не пазя пълния дъмп). формално са на различни собственици.
трафика е едва няколко мегабайта


Пон Ное 04, 2019 6:14 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Вто Дек 14, 2004 12:31 pm
Мнения: 3282
Мнение Re: флуд с пакети с дължина 0
Това ЕС2 на Амазон ти ли си? Понеже го дава 52.57.... защо не се обърнеш към техния съпорт направо.


Пон Ное 04, 2019 7:17 pm
Профил WWW
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: флуд с пакети с дължина 0
не, това иде от там. мойто е ***
малък клъц, само за няколко минути. днес търчах по други задачи и не съм зяпал особено.
с амазона може и да има сценарии. но с alicloud (примерно), които се водят с китайска собственост, хостват се в Калифорния, с офис в апартамент в Аризона?
или испански собственик, с адрес в Италия, с регистрация на мрежата в Белиз...


Пон Ное 04, 2019 7:23 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Окт 11, 2011 10:53 pm
Мнения: 4174
Местоположение: Brussels / Пловдив
Мнение Re: флуд с пакети с дължина 0
Това SMTP не е ли съмнително?

Цитат:
***.smtp:


Нямаш ли hex дъмп на целия пакет - примерно с wireshark?

_________________
Мразя да мразя ...


Пон Ное 04, 2019 10:11 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: флуд с пакети с дължина 0
e, какъв дъмп на пакет с големина 0? (за payload говоря)
това е от tcpdump -vv на ниво IP, не че има шанс да цъфне не-ТСР пакет.
smtp е защото гледам само тези пакети (там си върви мейл сървър)

нормално е да дойде SYN, да му се отговори със SYN+ACK и после клиента да прати ACK, че е получил SYN+ACK. напълно легитимен обмен, известен като 3 way handchake.
тези пакети са с големина 0, няма полезни данни, освен флаговете. това се обслужва от стека.
до по-високо ниво (сървър) такъв пакет може и да не достига, но предполагам, че и най-начинаещия софтуерист ще започне обработката с if (payload_size>0) ...

това, което ме озадачава е, че такива пакети пристигат масирано от различни (свързани) IP-та с неясна за момента цел.
нищо особено не се е случило, просто споделям озадачението си.


Вто Ное 05, 2019 7:49 am
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Сеп 15, 2009 9:44 am
Мнения: 1034
Мнение Re: флуд с пакети с дължина 0
Може да са атаки към мрежите, чиито айпита виждаш.
Примерно, заливат сървъри от тези мрежи със SYN пакети с фалшиви айпита, сред които попада и твоето и при теб пристига отговор на атакуваната мрежа (SYN+ACK), или на теб ти пращат SYN пакети от името на тези мрежи, с надеждата да отговориш и твоите SYN+ACK пакети наред с останалите като теб да залеят целите. Първото е класическа SYN flood атака, второто мисля е по-малко вероятно.


Вто Ное 05, 2019 10:49 am
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Окт 11, 2011 10:53 pm
Мнения: 4174
Местоположение: Brussels / Пловдив
Мнение Re: флуд с пакети с дължина 0
Е, точно за флаговете ми беше интересно дали няма нещо съмнително.

Ако е SYN flood малко странно идва като се банне един сегмент пакетите да продължават да идват от друг ... или е някакво съвпадение което го тълкуваме грешно.

_________________
Мразя да мразя ...


Вто Ное 05, 2019 11:01 am
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Сря Мар 22, 2006 2:25 am
Мнения: 6004
Мнение Re: флуд с пакети с дължина 0
https://forums.aws.amazon.com/thread.js ... dID=217724

от тая мания за слухтене се нароиха хиляди ви пи ен услуги, които ги ползват или само балъци или най вече тарикати
дали не е някакъв полу работещ вилтър на ви пи ен-а който орязва съдържанието но пропуска пакета празен?


Вто Ное 05, 2019 2:27 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Окт 11, 2011 10:53 pm
Мнения: 4174
Местоположение: Brussels / Пловдив
Мнение Re: флуд с пакети с дължина 0
Дедо, какво стана? Спря ли флуд-а?

_________________
Мразя да мразя ...


Пон Ное 11, 2019 5:21 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: флуд с пакети с дължина 0
на приливи и отливи е...
понякога няма флуд, понякога наливат. на различни адреси е различно.

броячите стоят на кротки нива - по няколко мегабайта (3 до 5) дошли пакети на мрежа. може пък и админите отсреща да са им обърнали внимания.
така или иначе в момента имам други (спешни) задачи и не съм обръщал много внимание на тази случка.


Пон Ное 11, 2019 5:38 pm
Профил
Покажи мненията от миналия:  Сортирай по  
Отговори на тема   [ 27 мнения ]  Отиди на страница Предишна  1, 2

Кой е на линия

Потребители разглеждащи този форум: Google [Bot] и 14 госта


Вие не можете да пускате нови теми
Вие не можете да отговаряте на теми
Вие не можете да променяте собственото си мнение
Вие не можете да изтривате собствените си мнения
Вие не можете да прикачвате файл

Търсене:
Иди на:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group.
Designed by ST Software for PTF.
Хостинг и Домейни