URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67274
[ Назад ]

Исходное сообщение
"Входящий трафик или как я умудрился подключиться к 193.108.95.*"
Отправлено toxa , 29-Июн-06 19:16

Проблема следующая: мне приходят запредельные счета за интернет, попросил детализацию - мне прислали следующее:
#  --- ---- ---- Report Information --- --- ---
#
# Fields:    Total
# Symbols:   Disabled
# Sorting:   Descending Field 3
# Name:      Source IP
#
# Args:      /usr/local/netflow/bin/flow-stat -f9 -S3
#
#
# IPaddr         flows                 octets                packets
#
193.108.95.16    8                     32155416              21473
81.22.204.142    43                    633083                633
87.117.208.112   256                   12288                 256
192.168.1.28     22                    11032                 197
192.168.1.52     21                    10976                 196
192.168.1.59     21                    10976                 196
и т.д.
А в другом логе следующее:
srcIP            dstIP            prot  srcPort  dstPort  octets      packets
.
.
193.108.95.16    87.117.161.95    6     80       3043     88          2
192.168.1.28     87.117.161.95    1     0        768      56          1
81.22.204.142    87.117.161.95    6     7500     3040     21662       20
81.22.204.142    87.117.161.95    6     7500     3041     40          1
193.108.95.16    87.117.161.95    6     80       3045     8038756     5366
.
.
.
Я не профессионал, но я так понимаю, что судя по логам я в основном закачивал с 193.108.95.16 подключаясь к нему по 80ому порту, но что это за ip и как я к нему смог подключиться.
За следующий день картина примерно такая же, но основной трафик идет с 193.108.95.46.
Пожалуйста помогите разобраться, что происходит у меня с трафиком.
PS. Провайдер: Телесет (http://www.telecet.ru/)
Модем D-Link DSL-200

Содержание

Входящий трафик или как я умудрился подключиться к 193.108.9...,аноним, 22:31 , 29-Июн-06
Входящий трафик или как я умудрился подключиться к 193.108.9...,Skif, 01:14 , 30-Июн-06
- Входящий трафик или как я умудрился подключиться к 193.108.9...,toxa, 08:30 , 30-Июн-06
  - Входящий трафик или как я умудрился подключиться к 193.108.9...,Nimdar, 11:02 , 30-Июн-06
  - Входящий трафик или как я умудрился подключиться к 193.108.9...,Kirill_AG, 11:28 , 30-Июн-06
Входящий трафик или как я умудрился подключиться к 193.108.9...,полный ламер, 14:38 , 01-Июл-06

Сообщения в этом обсуждении

"Входящий трафик или как я умудрился подключиться к 193.108.9..."
Отправлено аноним , 29-Июн-06 22:31

может кто-то подключился к тебе :)
думая стоит почитать логи, просканировать себя на на наличие открытых портов, которые ты сам не открывал

"Входящий трафик или как я умудрился подключиться к 193.108.9..."
Отправлено Skif , 30-Июн-06 01:14

>Проблема следующая: мне приходят запредельные счета за интернет, попросил детализацию - мне
>прислали следующее:
>#  --- ---- ---- Report Information --- --- ---
>#
># Fields:    Total
># Symbols:   Disabled
># Sorting:   Descending Field 3
># Name:      Source IP
>#
># Args:      /usr/local/netflow/bin/flow-stat -f9 -S3
>#
>#
># IPaddr         flows
>
>    octets
>         packets
>#
>193.108.95.16    8
>
>  32155416
>     21473
>81.22.204.142    43
>
> 633083
>      633
>87.117.208.112   256
>          12288
>
>     256
>192.168.1.28     22
>
>  11032
>        197
>192.168.1.52     21
>
>  10976
>        196
>192.168.1.59     21
>
>  10976
>        196
>и т.д.
>А в другом логе следующее:
>srcIP
>dstIP
> prot  srcPort  dstPort  octets
>  packets
>.
>.
>193.108.95.16    87.117.161.95    6
> 80       3043
>  88
> 2
>192.168.1.28     87.117.161.95    1
>  0        768
>     56
>    1
>81.22.204.142    87.117.161.95    6
> 7500     3040
>21662       20
>81.22.204.142    87.117.161.95    6
> 7500     3041
>40          1
>
>193.108.95.16    87.117.161.95    6
> 80       3045
>  8038756     5366
>.
>.
>.
>Я не профессионал, но я так понимаю, что судя по логам я
>в основном закачивал с 193.108.95.16 подключаясь к нему по 80ому порту,
>но что это за ip и как я к нему смог
>подключиться.
>
>За следующий день картина примерно такая же, но основной трафик идет с
>193.108.95.46.
>
>Пожалуйста помогите разобраться, что происходит у меня с трафиком.
>PS. Провайдер: Телесет (http://www.telecet.ru/)
>Модем D-Link DSL-200

честно говря невижу в приведенном "заоблачного" траффика. Может раздуваем мухи из слона?
Насчет вашего 193.108.95.16 - это может быть один из серверов с виртуальным хостингом (не факт, а предположение), на котором висят несколько ресурсов которыми вы сами же и пользуетесь.
Для проверки же счетов провайдера желательно установить свою считалку траффика. Учитывая что вы находитесь за роутером Dlink, люфт в пределах 5 процентов траффика вас пугать не должен. Чуть больше причина для анализа. Если более 20 процентов - считайте что вам или накручивают траффик или кто-то поимел доступ к вашему роутеру.

"Входящий трафик или как я умудрился подключиться к 193.108.9..."
Отправлено toxa , 30-Июн-06 08:30

>честно говря невижу в приведенном "заоблачного" траффика. Может раздуваем мухи из слона?
Дело в том, что когда я включаю модем и захожу в личный кобинет (у телесета есть такая фишка - можно on-line смотреть сколько ты трафика израсходовал) - это внутригородской трафик - а у меня примерно метров по 30 в час набегает внешнего. А заоблачные счета потому, что пару дней комп просто был включен - и чисто статистически - идет ~30 МБ/час, и я вот никак не могу понять от куда эти 30 МБ беруться. А статистику я привел за 2 дня, когда я был примерно по часу в инете - и то разве, что почту отправлял.
И еще вопрос в отчете присутствует поле "octets" - что это за значение????

"Входящий трафик или как я умудрился подключиться к 193.108.9..."
Отправлено Nimdar , 30-Июн-06 11:02

Трафик достаточно подозрительный, я бы очень рекомендовал провериться на предмет наличия троянов, backdoor-ов и др. шпиёнских программ. Другими словами, трафик инициализируется какой-то программой в твоей оси, это может быть недавно установленное ПО, которое постоянно чекает например обновления.

"Входящий трафик или как я умудрился подключиться к 193.108.9..."
Отправлено Kirill_AG , 30-Июн-06 11:28

Включай модем только на то время, когда включаешь компьютер. Сравни траффик.
DSL модемы сами могут вести лог обращений в/из внешнего мира. Как настроить - см. описание своего модема.
про firewall забывать не надо.
есть ли процессы, которые ты не запускал?
Есть ли что-то подозрительное в исходящем траффике?
>И еще вопрос в отчете присутствует поле "octets" - что это за значение????
Если просто, то это 1 байт.

"Входящий трафик или как я умудрился подключиться к 193.108.9..."
Отправлено полный ламер , 01-Июл-06 14:38

модем у вас насколько я понимаю usb так что рыть надо в машине -советы вам уже дали пройтись антивирем и посмотреть на свои открытые порты