Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Firestone 19. 04. 2015, 11:59:32
-
Zdravím,
rád bych se zde zkusil obrátit na zkušené ohledně vyhledání viníka (proces), který mně začal ze serveru posílat hodně velký UDP broadcast provoz. Pro představu:
275: 23:21:22.157493 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2302: udp 32
276: 23:21:22.157615 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2314: udp 32
277: 23:21:22.157782 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2326: udp 32
278: 23:21:22.157813 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2338: udp 32
279: 23:21:22.157889 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2350: udp 32
280: 23:21:22.157966 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2362: udp 32
281: 23:21:22.158103 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2374: udp 32
282: 23:21:22.158225 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2386: udp 32
283: 23:21:22.158301 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2398: udp 32
284: 23:21:22.158362 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2410: udp 32
285: 23:21:22.158423 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2422: udp 32
286: 23:21:22.158545 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2434: udp 32
287: 23:21:22.158652 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2446: udp 32
288: 23:21:22.158790 802.1Q vlan#6 P0 [servers_IP].2364 > 255.255.255.255.2458: udp 32
Systém je teď odstřihnutý od netu (WAN i LAN), přistupuji na něj lokálně.
Zkoušel jsem netstat, výsledek je tento:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 [servers_IP=local=foreign]:45484 [servers_IP=local=foreign]:27024 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:45996 [servers_IP=local=foreign]:27015 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:41389 [servers_IP=local=foreign]:27026 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:47151 [servers_IP=local=foreign]:27018 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:54832 [servers_IP=local=foreign]:27018 ESTABLISHED
udp 1464 0 [servers_IP=local=foreign]:56112 [servers_IP=local=foreign]:27026 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:56240 [servers_IP=local=foreign]:27025 ESTABLISHED
udp 0 0 0.0.0.0:2352 0.0.0.0:*
udp 1464 0 [servers_IP=local=foreign]:55473 [servers_IP=local=foreign]:27017 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:43571 [servers_IP=local=foreign]:27017 ESTABLISHED
udp 0 0 [servers_IP=local=foreign]:57012 [servers_IP=local=foreign]:27024 ESTABLISHED
Neporadil by někdo, jak zkusit vypátrat co to generuje?
Díky za případnou pomoc.
-
Když k tomu netstatu přidáte parametr -p, vypíše vám to i PID a název procesu.
-
Díky za radu, tak jsem si více mohl namáhat hlavu a nechat si vylistovat možné parametry příkazu :-X
Vypadá to na proces hlds_i686, který má snahu evidentně floodovat. Tak to budu muset zapátrat jinde a zjistit co s tím půjde dělat.
-
hlds_i686=Half Life Dedicated Server. Takze si tam u vas z toho nekdo asi dela herni server.
-
Ano, to odpovídá. Součást běhu stroje je i provoz herních serverů. Spíš je divné to chování...
-
Tip 1: je to cracknuty herny server Counter Strike (non-steam)
Tip 2: pouzivas najznamejsi crack, ktory umoznuje DDoS cez UDP amplification
Mozne riesenia, ked su tipy spravne:
-hostuj len legalne hry
-analyzuj prevadzku a pokusaj sa ju blokovat
-a este par nelegalnych, ktore nemozem verejne radit, lebo na to by bol paragraf
...alebo sa mylim a je zase dalsia chyba v hlds. Nebola by prva a nebude ani posledna. Zaplatuj to cim skor.
-
Díky za doprovodné informace a poukázání potenciálních problémů!