Fórumok
Hi,
ma az egyik internet szolgaltato (kabeles) tamadast kapott, en is mint az ugyfeluk :-(
Valaki tapasztalt ma hasonlot ? Barmely szolgaltato halozataban ?
A logom pillanatok alatt elerte a 130 M !!!!! Es gyanakszom valami virusra mert az IP mindig mas volt !
Hozzászólások
Itt belassult dél körül a net eléggé. Akkor körül volt?
Tegnap este is volt de az nem ekkora, es igen kb. 11.00 -> 13.00 ig (nalam).
Ki a szolgaltato ? Vagy Te vagy es a szervereid ?
Valaki mas ?
Antenna Távközlési Rt. hálózata. :)
Akkor a központi optikai gerinckábelszakadás áldozata lehetet.
Nehany darabkat lathatnank abbol a logbol?
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Jul 4 12:45:55 mars last message repeated 871 times
Jul 4 12:46:02 mars kernel: FIREWALL - Default DROP! IN=eth0 OUT=
MAC=ff:ff:ff:ff:ff:ff:00:04:e2:37:97:ae:08:00 SRC=81.196.139.146
DST=255.255.255.255 LEN=112 TOS=0x00 PREC=0x00 TTL=128 ID=61276 PROTO=UDP
SPT=520 DPT=520 LEN=92
Jul 4 12:46:02 mars last message repeated 280 times
Jul 4 12:46:08 mars kernel: FIREWALL - Default DROP! IN=eth0 OUT=
MAC=ff:ff:ff:ff:ff:ff:00:04:e2:37:94:65:08:00 SRC=86.127.40.147
DST=255.255.255.255 LEN=72 TOS=0x00 PREC=0x00 TTL=128 ID=2617 PROTO=UDP
SPT=520 DPT=520 LEN=52
Jul 4 12:46:09 mars last message repeated 550 times
Jul 4 12:46:09 mars kernel: FIREWALL - Default DROP! IN=eth0 OUT=
MAC=ff:ff:ff:ff:ff:ff:00:0e:a6:39:ec:89:08:00 SRC=82.77.223.4
DST=82.77.223.127 LEN=234 TOS=0x00 PREC=0x00 TTL=128 ID=13837 PROTO=UDP
SPT=138 DPT=138 LEN=214
Jul 4 12:46:09 mars kernel: FIREWALL - Default DROP! IN=eth0 OUT=
MAC=ff:ff:ff:ff:ff:ff:00:04:e2:37:94:65:08:00 SRC=86.127.40.147
DST=255.255.255.255 LEN=72 TOS=0x00 PREC=0x00 TTL=128 ID=2617 PROTO=UDP
SPT=520 DPT=520 LEN=52
google://udp%2F520 egyébiránt meg a roggyant HDSNET-es hálózatából származónak mondták magukat a csomagok, amit elvileg még el is tudok képzelni. (voltam az ügyfelük...)
Erdekes. Szerintem ezek valahonnan belulrol jottek (jo sok kulonbozo MAC-address, es a broadcast dst is gyanus), vagy valami nagyon mellekonfiguralt router(ek)bol (az udp/520 ugyebar a RIP-hez tartozik), vagy DoS tamadasbol. Ennyi info alapjan ez meg sok minden lehet.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Tényleg érdekes...:
00-04-E2-37-94-65 SMC Networks, Inc.
00-0E-A6-39-EC-89 ASUSTEK COMPUTER INC.
http://www.techzoom.net/nettools-macdecode.asp
Nem véletlenül írtam, hogy "...HDSNET-es hálózatából származónak mondták magukat a csomagok...", és nem azt, hogy tényleg onnan érkeztek.
Ahogy irtad rakarestem az 520 -as portra es arra jutottam mint eax.
"Messziről" hogy lehet MAC címet hazudni? Mert szerintem sehogy.
És UDP-csomagban IP-t...? Valami nem kerek ebben az egészben, tényleg valami desznyóságnak tűnik...
UDP csomagban IP-t siman lehet, felteve, hogy ahonnan kuldik, nem szuri semmi. Max. a valasz nem talal vissza, de az mar kit zavar... :)
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Tudom, hogy lehet, épp azért írtam, hogy nem kerek a dolog: mert _ha_ hamis a feladó címe, akkor valami malacság van mögötte, ha meg tényleg onnan érkezett, akkor az a kérdés, hogy mit keresett ilyen őrületes tömegben más hálózatában a RIP?
Ja, ok.
"_ha_ hamis a feladó címe, akkor valami malacság van mögötte, ha meg tényleg onnan érkezett, akkor az a kérdés, hogy mit keresett ilyen őrületes tömegben más hálózatában a RIP?"
... es hogy miert van ennyi MAC-address (ha mashonnan jott, azt routeren keresztul tette, abbol pedig olyan tul sok nem szokott lenni).
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Igen, és az az érdekes, hogy SMC meg Asustek MAC-ek vannak az idézett logrészletben -- SMC-t még el bírok képzelni szolgáltatói hálózatban, de Asustek cuccos khm. csak nagy jóindulattal, merthogy tudtommal SoHo eszközök fölé nem mennek.
Esetleg egy:
awk -F: '/MAC=/ {printf "%s-%s-%s-12-34-56", $7, $8, $9}' firewall.log | sort -u
kimenetét érdekes lenne a korábban idézett weboldalon (vagy máshogy) gyártók listájára konvertálni.
Erre jutottam en is.
Ezek szerint csak ebben a haloban volt!
Ez egy jó nagy semmi hír.
A tied sem epito jellegu cln !
501-en olvasták a hírt és senki nem tud konkrétumot. Mit lehet ezen még építeni?
Azert koszi a nem epito jellegu hozzaszolasodat ismetelten ?
Szerinted ez hír? Bazmeg. Ez egy fórumtopik.
--
trey @ gépház
ROTFL
Húúúúú, honnan tetszett szert tenni ilyen magas kultúrára kedves trey?
Van egy rosszabik oldalam, ami IRL általában default, de online is előjön néha. De végülis igazad van. Betudom a hidegfrontnak, hogy ma ennyi az elmeroggyant.
--
trey @ gépház
cln elotte is ilyen volt neki mindegy
ne spanoskodj, mert azt nem szereti
Végül is mindegy, nem különösebben idegesít. :)
Ennyi write-only izét régen láttam én is tényleg...
szoval eloben megtaplobb vagy
--
Those who do not understand Unix are condemned to reinvent it, poorly. (based on true story)
Sokkal.
--
trey @ gépház
Én azt hittem ez egy fórum topic...
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
Nekem tegnap este óta ma este 7-ig gyak halott volt a net percekre el el indult, utána minden ok lett. Hirtelen elmúlt. Ebből én annyit tapasztaltam, hogy a hálózat folyton leállt, és a router újrakapcsolódott. Nincs logom, mert nincs szerverem.
Bátyám érdeklődött délután, hogy nálam megy-e a net. Ment. Azt mondta, hogy nála totál semmi. Chello-s. (Én is.) Összefüggés, lehet, hogy abszolute nincs a topiknyitó észrevételével, de "mi" ezt érzékeltük.
______________________
"Az ember maga a pályamunkája" - snq-. Rofl. Naja, pályázni márpedig tudni kell!
az is lehet, hogy vmelyik switch-ük hányta szét magát //me
Nekem mindig igazam van, ha nem, akkor nincs igazam, szoval megint igazam van hogy nincs igazam.
debian 4.0 - linux-2.6.22-rc7-wifi0 - 2.6.22-rc7 kernel madwifivel itt