Podivný traffic na routery směrem ven

e3k

Podivný traffic na routery směrem ven
« kdy: 05. 12. 2014, 23:20:35 »
===problem 1===

furt mi blikala ta dioda na routry tak som si povedal ze sa pozrem, tcpdump na vonkajsom interfaci zaznamenal 2 veci:
moj openwrt router pingal adresy 2.21.246.71, 2.16.52.81, 173.252.107.16 v roznom poradi (tcpdump mozem poslat mailom pripadnym zaujemcom) nasledne sa z 2 spomenutych adries ozvala odpoved encrytovana v TLSv1.2. mne to prislo ako portknocking a nasledna odpoved neviem co mala znamenat tak som im to cele cez iptables zrusil = vsetky 3 adresy zakazane von dnu i forward.

===problem 2===
dioda este stale davala vediet ze mam traffic aj ked su vsetky stroje vypnute a dovodom je tento request od ups cable modemu (cisco epc 3212 od ISP=UPC a nemam tam pristup) co chodi 10 krat za dekasekundu (s obmenou who a tell):
17   0.359960   Cadant_4f:aa:41   Broadcast   ARP   60   Who has 89.173.219.97?  Tell 89.173.216.1

ak niekoho napadne co by mohol znamenat prvy alebo druhy problem prosim napiste mi. ospravedlnte moj prejav ale vrtaly mi dnes zub a musel som to zapit.

« Poslední změna: 08. 12. 2014, 08:20:55 od Petr Krčmář »


ada

Re:podivny traffic na routry iface smerem von
« Odpověď #1 kdy: 05. 12. 2014, 23:59:32 »

Jenda

Re:podivny traffic na routry iface smerem von
« Odpověď #2 kdy: 06. 12. 2014, 00:33:33 »
furt mi blikala ta dioda na routry tak som si povedal ze sa pozrem, tcpdump na vonkajsom interfaci zaznamenal 2 veci:
moj openwrt router pingal adresy 2.21.246.71, 2.16.52.81, 173.252.107.16 v roznom poradi (tcpdump mozem poslat mailom pripadnym zaujemcom) nasledne sa z 2 spomenutych adries ozvala odpoved encrytovana v TLSv1.2. mne to prislo ako portknocking a nasledna odpoved neviem co mala znamenat tak som im to cele cez iptables zrusil = vsetky 3 adresy zakazane von dnu i forward.
A to fakt *pingalo* to openwrt a pak se někdo zvenku připojil (na jaký port? je vidět, že by tam poslouchala nějaká služba?)? Tak to je nějaký backdoor.

Jó, kdyby to bylo normální TCP spojení, které šlo z LAN, tak to mohla být třeba nějaká webová stránka…

RDa

  • *****
  • 2 545
    • Zobrazit profil
    • E-mail
Re:podivny traffic na routry iface smerem von
« Odpověď #3 kdy: 06. 12. 2014, 10:47:25 »
Mohl bys zkusit tcpdump od bootu toho zarizeni, zda tam neni nejaky DNS dotaz mezitim, mozna budes moudrejsi

e3k

Re:podivny traffic na routry iface smerem von
« Odpověď #4 kdy: 06. 12. 2014, 18:10:32 »
tak som si pozrel teraz tie packety poriadnejsie. moj router odpovedal na tls packety(port 443) odpovedou RFC 792 Destination Unavailable Host Unavailable. Takze asi mal niekto doma otvorenu stranku s https a potom vypol komp a oni este stale chceli nieco posielat ale uz nebolo kam, aspon si myslim... tieto RFC manualy su velmy tazke citanie ide mi to sakra pomaly.

co sa tyka problemu 2 stretol sa s tym niekto?