-
IT café
Haladó szintű hálózati témák topikja
Új hozzászólás Aktív témák
-
crok
nagyúr
válasz
#19482368
#7653
üzenetére
Megintcsak azt tudom mondani hogy Wireshark.. ezt innentől meg kell nézni.. azt se látod a logban hogy TCP vagy UDP, ha TCP akkor SYN vagy SYN-ACK volt a dobott csomag, nem írod azt se hogy amúgy forwarded vagy dropped amit látsz, csak hogy látod.
Én innen már csak azt tudom mondani, hogy (én Cisco-ban, Juniper-ben utazom céges szinten) betennék egy switchet a router elé meg mögé és SPAN porttal kimirror-oznám a forgalmat. Aztán mehet az összehasonlítás, hogy ki generálta a forgalmat, csak kívülről jövő simogatás volt-e vagy bentről inicializálódott.. de sajnos semmi konstruktívat nem írtál amivel én tudnék haladni előbbre.
De a 3GB forgalom ami egy broadband-en ilyen simogatással bejön az - mint említették - tulajdonképpen nudli. Nálam az otthon tartott szerver előtt levő kis router is megfog havi 5..6GB ilyen forgalmat.. gondolj bele, van mondjuk egy 100Mbps le/100Mbps fel neted ami folyamatosan a rendelkezésedre áll (vagyis egy 30 napos hónapban tudsz generálni mondjuk 32400GB befelé jövő és 32400GB kifelé küldött forgalmat). A botnetek meg nyilván 0-24-ben szimatolnak, vagyis ha folyamatosan bombáznak a kérésekkel (márpedig igen) akkor a 3GB forgalom ennek csupán a 0.00466% kerekítve.. akkor ez másodpercenként 9.25kbps forgalom, ami mondjuk másodpercenként 150..160 ilyen eldobott SYN csomag egy public-ra tett routeren. Ez kb. semmi.
A mobilnet megint más káposzta, az a hálózatot a szolgáltató maga is védi ám, elég jól, nyilván neki nagyon nem érdeke az ilyen támadások mobilhálózatok felé történő, nagy mennyiségű továbbítása (aztán jön a remotely triggered blackhole routing meg egyéb nyalánkságok) szóval egy szó mint száz: a mobilnet az más eset.
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
krealon
Gubek-Einste