Сообщений в теме: 33

[NightmareMan]

Помогите пожалуйста разобраться что происходит. С недавнего времени заметил, то на роутере мигает индикатор WAN порта как бешеный, в то время как к роутеру никто не подключен. Засунул кабель напрямую и запустил Wireshark. И увидел, что с довольно большой скоростью ко мне валит куча всякого г**на на порт 6881 с разных айпишников. А от меня в ответку следовательно Port unreachable. Сразу скажу - на момент захвата траффика все использующие траффик программы были закрыты. Utorrent тоже. Да и настроен он на другой порт.

Т.к. форум отказался принимать мой .pcap, пришлось грузить на сторонний ресурс - http://dropmefiles.com/mUgDI .

Есть ли у кого нибудь мысли о том, что это может быть за мистика?

P.S. Кому лень качать Wireshark чтобы посмотреть полный дамп - вот маленький отрывок

Сообщение отредактировал NightmareMan: 03 января 2015 - 17:09

[Nixon]

torrent? 

[Paul_Alexander]

Первая ссылка в Гугле по запросу "port 6881":

http://otvety.google...3518e84a22141c9

[mailov]

Есть ли у кого нибудь мысли о том, что это может быть за мистика?

Это самый, что называется, настоящий DDoS по UDP портам в чистом виде.

Сообщение отредактировал mailov: 03 января 2015 - 18:00

[NightmareMan]

Первая ссылка в Гугле по запросу "port 6881":

Я предвидел такой ответ, поэтому заранее сообщил что торрент запущен не был, и порт в нём, кстати, не 6881

[Paul_Alexander]

Я предвидел такой ответ, поэтому заранее сообщил что торрент запущен не был, и порт в нём, кстати, не 6881

При чём тут, что запущен не был? Вирус ломится по стандартному порту протокола BitTorrent, вызывая огромный поток ICMP ответов от Вашего хоста. Как и сказал Руслан - "DDoS по UDP портам в чистом виде."

[NightmareMan]

А что можно предпринять в таком случае?

И, кстати, как-то слабовато для DDoS в плане кол-ва пакетов и траффика в целом.

[mailov]

А что можно предпринять в таком случае?

В вашем случае как вариант, пока сменить айпишник - но этого не надолго хватит.

И, кстати, как-то слабовато для DDoS в плане кол-ва пакетов и траффика в целом.

А вы хотели сразу DDOS в несколько Гбит/с ? Атакующий DDoS'om, сразу проверяет реакцию жертвы "простым" алгоритмом "шлака", а потом уже далее по обстоятельствам, считайте что вам повезло пока.

[NightmareMan]

Хм. Интересно, а может, и обязан ли провайдер что-либо предпринимать в таком случае?

[Nixon]

Хм. Интересно, а может, и обязан ли провайдер что-либо предпринимать в таком случае?

Не обязан.

[Лёга Евгений]

обязан ли провайдер что-либо предпринимать в таком случае?

Поскольку у вас реальный айпи, то и "отдуваться" за сетевую активность по нему только вам.

[Дмитрий Пупкин]

Хм. Интересно, а может, и обязан ли провайдер что-либо предпринимать в таком случае?

Да. Обязан отключить абонента за нарушение правил пользования сети.

[Biz]

[Роман Дмитриевич]

     

[NightmareMan]

Да. Обязан отключить абонента за нарушение правил пользования сети.

Отлично. Тогда отключите тех, кто делал этот mini DDoS

[Дмитрий Пупкин]

Отлично. Тогда отключите тех, кто делал этот mini DDoS

Отлично, но раздел договор о правилах использования сети нарушили вы, а не "те кто делал этот mini DDoS". 

[NightmareMan]

Приложение 2 действующего договора прочитал, но не увидел пункта, которы можно было бы применить к обсуждаемой теме.

P.S. Что то все тут такие недружелюбные. Сразу накинулись, как будто я кого-то спровоцировал на флуд на мой айпишник, а теперь строю из себя невинную жертву.

[mailov]

Приложение 2 действующего договора прочитал, но не увидел пункта, которы можно было бы применить к обсуждаемой теме.

 

............ и запустил Wireshark. 

Сразу скажу - на момент захвата траффика все использующие траффик программы были закрыты.

...........

 

P.S. Что то все тут такие недружелюбные.

Это не так.

Сразу накинулись, как будто я кого-то спровоцировал на флуд на мой айпишник, а теперь строю из себя невинную жертву.

.....

А от меня в ответку следовательно Port unreachable.

Utorrent тоже. Да и настроен он на другой порт.

Просто так ваш адрес DDoS'ить никто не будет, рассказывайте все как есть до конца.

И, кстати, как-то слабовато для DDoS в плане кол-ва пакетов и траффика в целом.

Откуда у Вас такие познания в этой области?

Сообщение отредактировал mailov: 04 января 2015 - 18:08

[NightmareMan]

Просто так ваш адрес DDoS'ить никто не будет, рассказывайте все как есть до конца.

Нечего рассказывать. Коль было б что скрывать, сидел бы и не рыпался.

Откуда у Вас такие познания в этой области?

IT образование, активный читатель habrahabr, пытливый ум и тяга к интересным случаям.

Ваш вопрос считаю не совсем корректным. Ибо это можно сравнить со следующим - "О, ты знаешь уголовный кодекс? Ты наверняка преступник".

Также не пойму зачем вы так акцентировали внимание на Wireshark и факт захвата траффика. Я захватывал свой личный траффик, а не осуществлял MITM атаку с захватом и прочими "плюшками". В этом нет ничего ненормального.

http://habrahabr.ru/...it/blog/204274/ - почитайте на досуге.

[Дмитрий Пупкин]

Приложение 2 действующего договора прочитал, но не увидел пункта, которы можно было бы применить к обсуждаемой теме.
P.S. Что то все тут такие недружелюбные. Сразу накинулись, как будто я кого-то спровоцировал на флуд на мой айпишник, а теперь строю из себя невинную жертву.

Приложение 2

3. ПРАВИЛА ПОВЕДЕНИЯ В СЕТИ ИНТЕРНЕТ

3.2.5.7.4. Передачу компьютерам или оборудованию Сети бессмысленной или бесполезной информации, создающей паразитную нагрузку на эти компьютеры или оборудование, а также промежуточные участки сети, в объемах, превышающих минимально необходимые для проверки связности сетей и доступности отдельных ее элементов.


Просто так DDoS не возникает. Вы либо кого-то спровоцировали, либо банально вирус зацепили.