Fórum Root.cz
Hlavní témata => Software => Téma založeno: beer 16. 06. 2015, 09:48:19
-
Ahoj, distribuuji isa linuxových distribucí, většina uploadu jde na ip adresy z rozsahu KAIAGLOBAL-DUB1-IE-NET-1, v položce client u těctho ip adres vidím libTorrent (Rakshasa).
Neví někdo o co se jedná? Proč sosají pořád mé soubory, vždyť už to musí mít stažené milionkrát. Připadá mi to jako černá díra, vidím to v transmission každý den.
http://whois.smartweb.cz/object/KAIAGLOBAL-DUB1-IE-NET-1/ (http://whois.smartweb.cz/object/KAIAGLOBAL-DUB1-IE-NET-1/)
(https://own-zrychleni.rhcloud.com/index.php/apps/files_sharing/ajax/publicpreview.php?x=1690&y=1000&a=true&file=torrents.png&t=3NsTjjtAVtWtFqA&scalingup=0) (http://own.meitner.cz/index.php/s/3NsTjjtAVtWtFqA)
-
Nikdo nic? Co tím sledují, je to jak vidím dlouhodobá záležitost
https://bbs.archlinux.org/viewtopic.php?id=174541 (https://bbs.archlinux.org/viewtopic.php?id=174541)
-
Dnešní stav, nikdo nic?
(http://www.imgup.cz/images/2015/06/18/debian-8.0.0-i386-netinst.iso.png)
(http://www.imgup.cz/images/2015/06/18/debian-8.0.0-i386-xfce-CD-1.iso.png)
(http://www.imgup.cz/images/2015/06/18/xubuntu-15.04-desktop-amd64.iso.png)
(http://www.imgup.cz/images/2015/06/18/xubuntu-15.04-desktop-i386.iso.png)
-
By to mohla bejt nejaka torrenti proxy kdyz se to chova takhle.
-
Jak to myslíš, torrentí proxy, jako že si to natahaj na své servery a pak to distribuují svým zákazníkům ze své cache? Nesmysl - tahají to pořád, je to černá díra, teče to u nich někam do /dev/null, nebo stáhnou, smáznou a tahají znova.
Jen v tomto měsíci si ode mne stáhly minimálně 380 GB!! A stahují pořád stejné soubory. K čemu by byla taková proxy, která by data zahazovala a stahovala pořád dokola?
-
Poslal jsem dotaz na abuse@nmc.kaiaglobal.com, bohužel neumím dobře anglicky, tak jsem něco napsal a nechal přeložit přes google translate. Ani se nepokoušeli odpovědět. Znění, co jsem poslal:
Hello,
I noticed repeated nonsensical data traffic from the IP addresses on your network.
Your IP address is constantly pulling linux cd. You build a black hole?
As I see it's a long-term issue.
See https://bbs.archlinux.org/viewtopic.php?id=174541
You're trying to generate unnecessary traffic?
Vůbec nevím, co s tím, vždycky, když si jich všimnu, tak zastavuji sdílení linuxových CD.
-
Samozřejmě jsem jim přiložil i screeny.
-
vyřešil bych to stejně, jako to řeší ostatní
https://bugs.archlinux.org/task/38881?project=6
-
libtorrent je knihovna implementující libtorrent... a řešil bych to prostě blokováním daných IP adres. Buď ve firewallu nebo v torrentovém klientu...
-
aktualizace
Dear beer,
we already noticed this behavior from our customer and forwarded the complaints about it.
But it's up to our client to stop or not to stop this. I will forward this e-mail aswell to them.
If you like you're free to block the specific addresses from your server/client.
Regards,
Denis
-
Takže klasická odpověď ve stylu "řešit to nebudem, trhni si". Zabanoval bych je.
-
Takže klasická odpověď ve stylu "řešit to nebudem, trhni si". Zabanoval bych je.
A jak je prosím zabanuji?
Dal jsem do /etc/rc.local následující:
iptables -A INPUT -s 79.141.0.0/16 -j DROP
iptables -A INPUT -s 95.141.0.0/16 -j DROP
iptables -A OUTPUT -s 79.141.0.0/16 -j DROP
iptables -A OUTPUT -s 95.141.0.0/16 -j DROP
Bohužel to nezabralo, pořád tahají, i přes reboot.
(http://www.imgup.cz/images/2015/06/23/debian-8.0.0.-i386-netinst.iso.23.06.2015.png)
-
Testujou asi dlouhodobě kvalitu/rychlost linky. Občas taky tahám XX GB linuxů abych zjistil jak se třeba net chová v průběhu dne třeba....
-
Ať si testujou, ale ne na mne. Sdílím linuxové obrazy, abych umožnil ostatním rychlé stažení, ale nemám pěníze na to, abych někomu dotoval svou internetovou kapacitou a svou elektřinou jeho testování rychlosti připojení k internetu.
Rád bych je zablokoval. Poradí mi někdo, jak na to?
-
Na jednu stranu tě chápu, že ti vadí že tě zneužívají, ale na druhou se na to zkus podívat z tohoto pohledu -
Vzhledem k tomu, že ty isa asi nesdílíš jen ty sám, tak pokud je zablokuješ, tak oni akorát zatíží někoho jinýho. Tady ty zákazy by měly smysl leda v případě, že by je zablokovali všichni (což se nestane).
Vzhledem k tomu že ty ses rozhodl že budeš pro lidi sdílet, tak nevím co ti vadí - ber to tak, že ty tím svým sdílením pomáháš všem, který by zatížili místo tebe...
Jakou máš vlastně linku?
-
Na jednu stranu tě chápu, že ti vadí že tě zneužívají, ale na druhou se na to zkus podívat z tohoto pohledu -
Vzhledem k tomu, že ty isa asi nesdílíš jen ty sám, tak pokud je zablokuješ, tak oni akorát zatíží někoho jinýho. Tady ty zákazy by měly smysl leda v případě, že by je zablokovali všichni (což se nestane).
Vzhledem k tomu že ty ses rozhodl že budeš pro lidi sdílet, tak nevím co ti vadí - ber to tak, že ty tím svým sdílením pomáháš všem, který by zatížili místo tebe...
Jakou máš vlastně linku?
12 Mb upload. Opravdu to chci zablokovat, myslím, že každý rozumný člověk, který sdílí iso obrazy ze svého PC, kde platí elektřinu a internet by tohle netoleroval. Považuji to za formu DDOS útoku a proti tomuto útoku se chci bránit.
-
Na jednu stranu tě chápu, že ti vadí že tě zneužívají, ale na druhou se na to zkus podívat z tohoto pohledu -
Vzhledem k tomu, že ty isa asi nesdílíš jen ty sám, tak pokud je zablokuješ, tak oni akorát zatíží někoho jinýho. Tady ty zákazy by měly smysl leda v případě, že by je zablokovali všichni (což se nestane).
Vzhledem k tomu že ty ses rozhodl že budeš pro lidi sdílet, tak nevím co ti vadí - ber to tak, že ty tím svým sdílením pomáháš všem, který by zatížili místo tebe...
Jakou máš vlastně linku?
12 Mb upload. Opravdu to chci zablokovat, myslím, že každý rozumný člověk, který sdílí iso obrazy ze svého PC, kde platí elektřinu a internet by tohle netoleroval. Považuji to za formu DDOS útoku a proti tomuto útoku se chci bránit.
Nehledě na to, těch obrazů sdílím více a jsou uloženy na HDD, nikoliv SSD, to přehnané zbytečné vytěžování má za následek i třeba zbytečné přesouvání hlaviček na disku, jeho opotřebovávání, pomalejší reakce.
Provozuji i tor bridge a je zajímavé, že když obraz nasdílím zkusmo Deluge nastavené na socks TOR proxy, tak nic nestahují - sami blokují tor exit nody.
-
iptables -A INPUT -s 79.141.0.0/16 -j DROP
iptables -A INPUT -s 95.141.0.0/16 -j DROP
iptables -A OUTPUT -s 79.141.0.0/16 -j DROP
iptables -A OUTPUT -s 95.141.0.0/16 -j DROP
Stacit by to melo na inputu, na outputu kdyz uz tak -d (destination). Ale musi to byt samo na tom stroji, kde to bezi. Pokud to chces bloknout na routeru, tak to musis dat do forward.
-
iptables -A INPUT -s 79.141.0.0/16 -j DROP
iptables -A INPUT -s 95.141.0.0/16 -j DROP
iptables -A OUTPUT -s 79.141.0.0/16 -j DROP
iptables -A OUTPUT -s 95.141.0.0/16 -j DROP
Stacit by to melo na inputu, na outputu kdyz uz tak -d (destination). Ale musi to byt samo na tom stroji, kde to bezi. Pokud to chces bloknout na routeru, tak to musis dat do forward.
Takže by to mělo být správně tedy takto?
iptables -A INPUT -s 79.141.0.0/16 -j DROP
iptables -A INPUT -s 95.141.0.0/16 -j DROP
iptables -A OUTPUT -d 79.141.0.0/16 -j DROP
iptables -A OUTPUT -d 95.141.0.0/16 -j DROP
Je to na stroji, kde to běží. Samotný input bohužel nestačil, jak je vidět na screenu.
Možná tam je ještě něco špatně? Může to být v tom /etc/rc.local, nebo to mám nějak přímo uložit do iptables? Není možné, že se to tluče s nějakým jiným pravidlem a proto ta data pořád odesílám?
-
U iptables na poradi zalezi, podivat se co tam mas muzes takhle:
iptables -nvL
To vypise kompletni pravidla v tabulce filtrovani. Pokud nekde pred tim mas povoleni ... tak to samo povoli driv, nez dropne.
-
U iptables na poradi zalezi, podivat se co tam mas muzes takhle:
iptables -nvL
To vypise kompletni pravidla v tabulce filtrovani. Pokud nekde pred tim mas povoleni ... tak to samo povoli driv, nez dropne.
Problém je zřejmě, že jsem to dal do /etc/rc.local. Je to stroj se systemd (ubuntu 15.04). Ve výpisu iptables -nvL to není, to znamená, že po iniciaci sítě se ta pravidla, která jsem zadal do /etc/rc.local vymažou.
Zkoušel jsem to zablokovat i prostřednictvím ufw, ale ufw nepropsalo zákazy do iptables, přesto, že jsem ufw povolil a nastavil pro automatické spuštění.
sudo ufw deny from 79.141.0.0/16
sudo ufw deny from 95.141.0.0/16
sudo ufw deny to 79.141.0.0/16
sudo ufw deny to 95.141.0.0/16
nezabralo. Pak jsem pravidla smazal a zadal s přesunutím na první místo:
sudo ufw sudo ufw insert 1 deny from 79.141.0.0/16
sudo ufw sudo ufw insert 1 deny from 95.141.0.0/16
sudo ufw sudo ufw insert 1 deny to 79.141.0.0/16
sudo ufw sudo ufw insert 1 deny to 95.141.0.0/16
Nezabralo, vypadá to, že se prostě do iptables nepropsalo, přesto, že v ufw status numbered to vidím blokované.
Aktuální stav iptables -vL
Chain INPUT (policy DROP 21 packets, 1521 bytes)
pkts bytes target prot opt in out source destination
3773K 790M ufw-before-logging-input all -- any any anywhere anywhere
3773K 790M ufw-before-input all -- any any anywhere anywhere
20022 1919K ufw-after-input all -- any any anywhere anywhere
17421 1127K ufw-after-logging-input all -- any any anywhere anywhere
17421 1127K ufw-reject-input all -- any any anywhere anywhere
17421 1127K ufw-track-input all -- any any anywhere anywhere
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all -- any any anywhere anywhere
0 0 ufw-before-forward all -- any any anywhere anywhere
0 0 ufw-after-forward all -- any any anywhere anywhere
0 0 ufw-after-logging-forward all -- any any anywhere anywhere
0 0 ufw-reject-forward all -- any any anywhere anywhere
0 0 ufw-track-forward all -- any any anywhere anywhere
Chain OUTPUT (policy ACCEPT 27 packets, 2400 bytes)
pkts bytes target prot opt in out source destination
3275K 7399M ufw-before-logging-output all -- any any anywhere anywhere
3275K 7399M ufw-before-output all -- any any anywhere anywhere
46205 34M ufw-after-output all -- any any anywhere anywhere
46205 34M ufw-after-logging-output all -- any any anywhere anywhere
46205 34M ufw-reject-output all -- any any anywhere anywhere
46205 34M ufw-track-output all -- any any anywhere anywhere
Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination
0 0 ufw-skip-to-policy-input udp -- any any anywhere anywhere udp dpt:netbios-ns
0 0 ufw-skip-to-policy-input udp -- any any anywhere anywhere udp dpt:netbios-dgm
0 0 ufw-skip-to-policy-input tcp -- any any anywhere anywhere tcp dpt:netbios-ssn
0 0 ufw-skip-to-policy-input tcp -- any any anywhere anywhere tcp dpt:microsoft-ds
82 25256 ufw-skip-to-policy-input udp -- any any anywhere anywhere udp dpt:bootps
0 0 ufw-skip-to-policy-input udp -- any any anywhere anywhere udp dpt:bootpc
0 0 ufw-skip-to-policy-input all -- any any anywhere anywhere ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination
20 1461 LOG all -- any any anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any anywhere anywhere icmp destination-unreachable
0 0 ACCEPT icmp -- any any anywhere anywhere icmp source-quench
0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded
0 0 ACCEPT icmp -- any any anywhere anywhere icmp parameter-problem
0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-request
0 0 ufw-user-forward all -- any any anywhere anywhere
Chain ufw-before-input (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
127K 12M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
119 7354 ufw-logging-deny all -- any any anywhere anywhere ctstate INVALID
119 7354 DROP all -- any any anywhere anywhere ctstate INVALID
0 0 ACCEPT icmp -- any any anywhere anywhere icmp destination-unreachable
0 0 ACCEPT icmp -- any any anywhere anywhere icmp source-quench
0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded
0 0 ACCEPT icmp -- any any anywhere anywhere icmp parameter-problem
0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-request
0 0 ACCEPT udp -- any any anywhere anywhere udp spt:bootps dpt:bootpc
549 64061 ufw-not-local all -- any any anywhere anywhere
0 0 ACCEPT udp -- any any anywhere 224.0.0.251 udp dpt:mdns
0 0 ACCEPT udp -- any any anywhere 239.255.255.250 udp dpt:1900
549 64061 ufw-user-input all -- any any anywhere anywhere
Chain ufw-before-logging-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-output (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any lo anywhere anywhere
124K 298M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
1317 109K ufw-user-output all -- any any anywhere anywhere
Chain ufw-logging-allow (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
pkts bytes target prot opt in out source destination
21 1240 RETURN all -- any any anywhere anywhere ctstate INVALID limit: avg 3/min burst 10
20 1454 LOG all -- any any anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
pkts bytes target prot opt in out source destination
441 35391 RETURN all -- any any anywhere anywhere ADDRTYPE match dst-type LOCAL
4 136 RETURN all -- any any anywhere anywhere ADDRTYPE match dst-type MULTICAST
104 28534 RETURN all -- any any anywhere anywhere ADDRTYPE match dst-type BROADCAST
0 0 ufw-logging-deny all -- any any anywhere anywhere limit: avg 3/min burst 10
0 0 DROP all -- any any anywhere anywhere
Chain ufw-reject-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-skip-to-policy-forward (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere anywhere
Chain ufw-skip-to-policy-input (7 references)
pkts bytes target prot opt in out source destination
82 25256 DROP all -- any any anywhere anywhere
Chain ufw-skip-to-policy-output (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any anywhere anywhere
Chain ufw-track-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-output (1 references)
pkts bytes target prot opt in out source destination
488 29280 ACCEPT tcp -- any any anywhere anywhere ctstate NEW
805 77151 ACCEPT udp -- any any anywhere anywhere ctstate NEW
Chain ufw-user-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere 95.141.0.0/16
0 0 DROP all -- any any anywhere reverse.alphalink.fr/16
14 840 DROP all -- any any 95.141.0.0/16 anywhere
32 1984 DROP all -- any any reverse.alphalink.fr/16 anywhere
9 540 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:9001
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9090
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:9090
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:9030
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9050
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:9050
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:http
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:db-lsp
22 3278 ACCEPT udp -- any any anywhere anywhere udp dpt:17500
145 8320 ACCEPT tcp -- any any anywhere anywhere tcp dpt:51413
224 22322 ACCEPT udp -- any any anywhere anywhere udp dpt:51413
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001
0 0 tcp -- any any anywhere anywhere tcp dpt:ssh ctstate NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
0 0 ufw-user-limit tcp -- any any anywhere anywhere tcp dpt:ssh ctstate NEW recent: UPDATE seconds: 30 hit_count: 6 name: DEFAULT side: source mask: 255.255.255.255
0 0 ufw-user-limit-accept tcp -- any any anywhere anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any anywhere anywhere tcp spt:34714
0 0 ACCEPT udp -- any any anywhere anywhere udp spt:34714
0 0 ACCEPT tcp -- any any anywhere anywhere multiport dports http,https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9091
0 0 ACCEPT tcp -- any any anywhere anywhere multiport dports 6881:6891
0 0 ACCEPT udp -- any any anywhere anywhere multiport dports 6881:6891
Chain ufw-user-limit (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any anywhere anywhere
Chain ufw-user-logging-forward (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-input (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-output (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-output (1 references)
pkts bytes target prot opt in out source destination
-
Zkusil jsem jít i cestou úpravy blocklistu - přidal jsem do něj nakonec:
kaiaglobal:79.141.0.0-79.141.255.255
kaiaglobal:95.141.0.0-95.141.255.255
Ani to nezabralo. Transmission sice natáhlo pravidla, ale stejně ode mne stahují dál :-(.
Můj blocklist je zde:
http://wordpress.webovky-levne.eu/wp-content/uploads/2015/06/blocklist.gz (http://wordpress.webovky-levne.eu/wp-content/uploads/2015/06/blocklist.gz)
nezabalený je zde:
http://wordpress.webovky-levne.eu/wp-content/uploads/2015/06/blocklist (http://wordpress.webovky-levne.eu/wp-content/uploads/2015/06/blocklist)
-
Nevím čím to, ale problém se již nevyskytuje. Nevím, jestli nakonec zabral ten můj blocklist, nebo rekonfigurace ufw. Nicméně [vyřešeno].