форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Входящий трафик или как я умудрился подключиться к 193.108.9..."

Сообщение от toxa (ok) on 29-Июн-06, 19:16

Проблема следующая: мне приходят запредельные счета за интернет, попросил детализацию - мне прислали следующее: #  --- ---- ---- Report Information --- --- --- # # Fields:    Total # Symbols:   Disabled # Sorting:   Descending Field 3 # Name:      Source IP # # Args:      /usr/local/netflow/bin/flow-stat -f9 -S3 # # # IPaddr         flows                 octets                packets # 193.108.95.16    8                     32155416              21473 81.22.204.142    43                    633083                633 87.117.208.112   256                   12288                 256 192.168.1.28     22                    11032                 197 192.168.1.52     21                    10976                 196 192.168.1.59     21                    10976                 196 и т.д. А в другом логе следующее: srcIP            dstIP            prot  srcPort  dstPort  octets      packets . . 193.108.95.16    87.117.161.95    6     80       3043     88          2 192.168.1.28     87.117.161.95    1     0        768      56          1 81.22.204.142    87.117.161.95    6     7500     3040     21662       20 81.22.204.142    87.117.161.95    6     7500     3041     40          1 193.108.95.16    87.117.161.95    6     80       3045     8038756     5366 . . . Я не профессионал, но я так понимаю, что судя по логам я в основном закачивал с 193.108.95.16 подключаясь к нему по 80ому порту, но что это за ip и как я к нему смог подключиться. За следующий день картина примерно такая же, но основной трафик идет с 193.108.95.46. Пожалуйста помогите разобраться, что происходит у меня с трафиком. PS. Провайдер: Телесет (http://www.telecet.ru/) Модем D-Link DSL-200

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Входящий трафик или как я умудрился подключиться к 193.108.9..."

Сообщение от аноним on 29-Июн-06, 22:31

может кто-то подключился к тебе :) думая стоит почитать логи, просканировать себя на на наличие открытых портов, которые ты сам не открывал

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Входящий трафик или как я умудрился подключиться к 193.108.9..."

Сообщение от Skif (??) on 30-Июн-06, 01:14

>Проблема следующая: мне приходят запредельные счета за интернет, попросил детализацию - мне >прислали следующее: >#  --- ---- ---- Report Information --- --- --- ># ># Fields:    Total ># Symbols:   Disabled ># Sorting:   Descending Field 3 ># Name:      Source IP ># ># Args:      /usr/local/netflow/bin/flow-stat -f9 -S3 ># ># ># IPaddr         flows   >           >    octets       >         packets ># >193.108.95.16    8         >           >  32155416         >     21473 >81.22.204.142    43         >           > 633083           >      633 >87.117.208.112   256         >          12288 >           >     256 >192.168.1.28     22       >           >  11032         >        197 >192.168.1.52     21       >           >  10976         >        196 >192.168.1.59     21       >           >  10976         >        196 >и т.д. >А в другом логе следующее: >srcIP             >dstIP           > prot  srcPort  dstPort  octets     >  packets >. >. >193.108.95.16    87.117.161.95    6     > 80       3043   >  88         > 2 >192.168.1.28     87.117.161.95    1   >  0        768 >     56       >    1 >81.22.204.142    87.117.161.95    6     > 7500     3040     >21662       20 >81.22.204.142    87.117.161.95    6     > 7500     3041     >40          1 > >193.108.95.16    87.117.161.95    6     > 80       3045   >  8038756     5366 >. >. >. >Я не профессионал, но я так понимаю, что судя по логам я >в основном закачивал с 193.108.95.16 подключаясь к нему по 80ому порту, >но что это за ip и как я к нему смог >подключиться. > >За следующий день картина примерно такая же, но основной трафик идет с >193.108.95.46. > >Пожалуйста помогите разобраться, что происходит у меня с трафиком. >PS. Провайдер: Телесет (http://www.telecet.ru/) >Модем D-Link DSL-200 честно говря невижу в приведенном "заоблачного" траффика. Может раздуваем мухи из слона? Насчет вашего 193.108.95.16 - это может быть один из серверов с виртуальным хостингом (не факт, а предположение), на котором висят несколько ресурсов которыми вы сами же и пользуетесь. Для проверки же счетов провайдера желательно установить свою считалку траффика. Учитывая что вы находитесь за роутером Dlink, люфт в пределах 5 процентов траффика вас пугать не должен. Чуть больше причина для анализа. Если более 20 процентов - считайте что вам или накручивают траффик или кто-то поимел доступ к вашему роутеру.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Входящий трафик или как я умудрился подключиться к 193.108.9..."
	Сообщение от toxa (ok) on 30-Июн-06, 08:30
	>честно говря невижу в приведенном "заоблачного" траффика. Может раздуваем мухи из слона? Дело в том, что когда я включаю модем и захожу в личный кобинет (у телесета есть такая фишка - можно on-line  смотреть сколько ты трафика израсходовал) - это внутригородской трафик - а у меня примерно метров по 30 в час набегает внешнего. А заоблачные счета потому, что пару дней комп просто был включен - и чисто статистически  - идет ~30 МБ/час, и я вот никак не могу понять от куда эти 30 МБ беруться. А статистику я привел за 2 дня, когда я был примерно по часу в инете - и то разве, что почту отправлял. И еще вопрос в отчете присутствует поле "octets" - что это за значение????
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Входящий трафик или как я умудрился подключиться к 193.108.9..."
	Сообщение от Nimdar (ok) on 30-Июн-06, 11:02
	Трафик достаточно подозрительный, я бы очень рекомендовал провериться на предмет наличия троянов, backdoor-ов и др. шпиёнских программ. Другими словами, трафик инициализируется какой-то программой в твоей оси, это может быть недавно установленное ПО, которое постоянно чекает например обновления.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Входящий трафик или как я умудрился подключиться к 193.108.9..."
	Сообщение от Kirill_AG (??) on 30-Июн-06, 11:28
	Включай модем только на то время, когда включаешь компьютер. Сравни траффик. DSL модемы сами могут вести лог обращений в/из внешнего мира. Как настроить - см. описание своего модема. про firewall забывать не надо. есть ли процессы, которые ты не запускал? Есть ли что-то подозрительное в исходящем траффике? >И еще вопрос в отчете присутствует поле "octets" - что это за значение???? Если просто, то это 1 байт.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Входящий трафик или как я умудрился подключиться к 193.108.9..."

Сообщение от полный ламер on 01-Июл-06, 14:38

модем у вас насколько я понимаю usb так что рыть надо в машине -советы вам уже дали пройтись  антивирем и посмотреть на свои открытые порты

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]