6 GB Traffic auf Port 0 (udp)

[cipi]

hi, ich hatte heute nacht zwischen 4 und 4:30 Uhr 6 GB outgoing Traffic der mir nichts sagt.

Traffic-Tool sagt:

Code: Select all

udp       
 Default  IN  0.09 MB   
 
 (0)  OUT  5954.05 MB 

Leider habe ich bisher bei google nur was mit filesharing gefunden, das auch port 0 zugreift.

hat jemand noch eine andere idee?

[andre丨]

Hallo,
eventuell wird dein Server als Warez Tauschplatz benutzt. Würde dir empfehlen alles genau zu überprüfen. Einen Flood schliesse ich hier aus, da es sich ausschliesslich um OUTGOING Traffic handelt.

Kann mich aber auch irren.
mfg
Andre

[cipi]

würde dann der traffic nicht bei http angezeigt?
dort stehen ja ganz regulär 100 MB ....

??

[lambras]

> eventuell wird dein Server als Warez Tauschplatz benutzt

Aber nicht via UDP-Pakete.

[cipi]

ja, genau das mit den udp-paketen wundert mich ja auch.
was gibt es denn da für Anwendungen, die 6 GB in einer halben Stunde "verbraten"?

cipi

[Anonymous]

wieso sollte man über UDP keine warez sharen...
is doch mal ne innovative idee...
ok, falls die diagramme nicht ankommen, muss die software das erkennen und selbst die daten neu anfordern im unterschied zu TCP... aber was solls?

denke mal eher das da einer gefloodet hat, check mal dein system

[captaincrunch]

<klugscheiss>
Diagram != Datagram
</klugscheiss>

[cipi]

kannst du mir noch einen tipp geben in welche richtung ich checken sollte?

/var/log/messages ist sauber. die http-logfiles auch.

[rootmaster]

hi, ich hatte heute nacht zwischen 4 und 4:30 Uhr 6 GB outgoing Traffic der mir nichts sagt.

Traffic-Tool sagt:

Code: Select all

udp       
 Default  IN  0.09 MB   
 
 (0)  OUT  5954.05 MB 

Leider habe ich bisher bei google nur was mit filesharing gefunden, das auch port 0 zugreift.

hat jemand noch eine andere idee?

zuerst:
womit hast du das geloggt ?? hast du weitere infos (ip's, dports,..) ??

nun, normalerweise ist port 0 reserviert und es sollte kein udp/tcp-traffic übers netzwerk laufen !
oftmals wird port 0 benutzt, um darüber in der socket-programmierung unpreviligierte ports dynamisch zuzuweisen; da dies os-spezifisch läuft, wird dafür oft port 0 von aussen "geprobt"; auch geht dieses os-fingerprinting primär von port 0 aus.
da du hohen outgoing und geringen incoming traffic hast, würde dies aber eher von deinem server ausgehen. jedoch ist dafür imho der traffic zu hoch.
andere möglichkeit wäre, dass auf port 0 ein trojaner antwortet, ähnlich "click attack"; der basiert imho aber auf icmp und läuft auf windosen ;)
als weitere möglichkeit besteht natürlich noch die möglichkeit, dass (u.a.) über deinen server udp-floodings gemacht wurden ?!

"back to the roots"

[alexander newald]

Ja, du liest die Ausgabe des Traffic Tools falsch ;-)

Die beiden Zeilen gehören zusammen und bedeuten

Default (0)

IN: 0,09 MB
OUT: 5954,05 MB

0 steht nur da, da es keinen Port "Default" gibt.

Soll also bedeuten, dass irgendetwas kanpp 6 GB UDP outgoing Traffic gemacht hat.

[dea]

Ja, du liest die Ausgabe des Traffic Tools falsch ;-)

Die beiden Zeilen gehören zusammen und bedeuten

Default (0)

IN: 0,09 MB
OUT: 5954,05 MB

0 steht nur da, da es keinen Port "Default" gibt.

Soll also bedeuten, dass irgendetwas kanpp 6 GB UDP outgoing Traffic gemacht hat.

Gameserver?

[alexander newald]

Aber nur 0,09 MB IN ? Oder ist das durch andere Ports abgedeckt? Poste doch mal die URL von der Statistik.

[dea]

Aber nur 0,09 MB IN ? Oder ist das durch andere Ports abgedeckt? Poste doch mal die URL von der Statistik.

Hmm - hast recht. Ich hatte nicht auf den incoming Traffic geachtet. :oops:

Jo cipi, tu mal Link zur Statistik oder aber genaue Ausgabe der Konsole inkl. Aufruf posten. Habe den Verdacht, dass mit der verqueren Formatierung noch mehr durcheinandergeraten ist ... ;)

[netzmeister]

Hi!

Ich hoffe, der Originalposter ist mir nicht böse, wenn ich mich hier mal kurz einklinke, denn ich habe auch ein kleines Problem mit dem Traffic Tool.

Ich habe 3 Stellen, an denen ich den verbrauchten Traffic abrufen kann: Online-Anzeige direkt vom Switch, ifconfig und Traffic Tool.

Das Problem ist, dass ich

a) der Online-Anzeige vom Switch trauen muss, d.h. die wird relativ genau sein

b) ifconfig stets ca. 5-10% unter der Anzeige von a) bleibt

c) Traffic Tool nur einen Bruchteil des Traffics erfasst (Switch: ~300 MB, ifconfig ~280 MB, Traffic Tool ~20 MB)

Ich hätte nun einige Fragen; vielleicht kennt sich ja jemand damit aus.

Welcher Traffic läuft denn am Switch auf, den ich direkt auf dem Server gar nicht mehr sehe? Können doch eigentlich nur Anfragen an Ports sein, auf denen bei mir gar nichts läuft und Broadcasts, oder?

Ein gewisses Grundrauschen ist ja normal, aber ich habe auf einem Testrechner ca. 400 MB / Tag ohne großartig Dienste am laufen zu haben (smtp, pop3) - zumindest laut Switch-Anzeige.

Warum aber sehe ich im Traffic Toll nur so wenig?

Gruss,
Alexander

[alexander newald]

Normalerweise sieht das Traffic Tool auch allen Traffic für die IP's, die auf dem Rechner konfiguriert sind, allerdings müssen in der Config Datei auch alle IP's, die überwacht werden sollen, angegeben werden. Der Switch und ifconfig sollten eigendlich relativ gleiche Ergebnisse liefern, denn alles was der Switch dem Port an dem dein Server hängt durchleitet und berechnet, sollte auch die Netzwerkkarte sehen.

[cipi]

der incoming traffic war ganz normal. so sieht es jetzt aus ...

Code: Select all

icmp       
 Default  IN  2.31 MB   
 
 (0)  OUT  0.84 MB   
 

       
tcp       
 Default  IN  18.18 MB   
 
 (0)  OUT  70.66 MB   
 

       
 ftp  IN  0.01 MB   
 
 (21)  OUT  0.00 MB   
 

       
 ssh  IN  0.00 MB   
 
 (22)  OUT  0.00 MB   
 

       
 smtp  IN  1.01 MB   
 
 (25)  OUT  1.06 MB   
 

       
 http  IN  11.22 MB   
 
 (80)  OUT  124.05 MB   
 

       
 pop3  IN  0.00 MB   
 
 (110)  OUT  0.00 MB   
 

       
 imap  IN  0.00 MB   
 
 (143)  OUT  0.00 MB   
 

       
 shell  IN  0.00 MB   
 
 (514)  OUT  0.00 MB   
 

       
 mysql  IN  0.00 MB   
 
 (3306)  OUT  0.00 MB   
 

       
udp       
 Default  IN  0.44 MB   
 
 (0)  OUT  5954.17 MB 

[netzmeister]

Hi!

Sorry, dass ich mich erst jetzt wieder melde, aber ich habe mal ein paar Tests wegen des Traffics gemacht.

Vorgehensweise:

iptables -F
iptables -X

iptables -N countingTCP
iptables -N countingUDP

iptables -A INPUT -p tcp -j countingTCP
iptables -A INPUT -p udp -j countingUDP

iptables -A OUTPUT -p tcp -j countingTCP
iptables -A OUTPUT -p udp -j countingUDP

iptables -A FORWARD -p tcp -j countingTCP
iptables -A FORWARD -p udp -j countingUDP

Damit müsste ich doch nun "Generell-Regeln" haben, die _jeglichen_ Traffic zählen, oder?

Reales Beispiel von gerade eben:

iptables --list -v

Code: Select all

Chain INPUT (policy ACCEPT 136 packets, 11201 bytes)
 pkts bytes target     prot opt in     out     source               destination
  107  8944 countingTCP  tcp  --  any    any     anywhere             anywhere
   27  2009 countingUDP  udp  --  any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 countingTCP  tcp  --  any    any     anywhere             anywhere
    0     0 countingUDP  udp  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 149 packets, 11031 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    71 countingUDP  udp  --  any    any     anywhere             anywhere
  146 10656 countingTCP  tcp  --  any    any     anywhere             anywhere

Chain countingTCP (3 references)
 pkts bytes target     prot opt in     out     source               destination

Chain countingUDP (3 references)
 pkts bytes target     prot opt in     out     source               destination

Mach laut iptables also Traffic von 22232 Bytes.

ifconfig eth0 spuckt da aber ganz andere Werte aus:

Code: Select all

          RX bytes:1511933664 (1.4 GiB)  TX bytes:66139244 (63.0 MiB)
          ...
          RX bytes:1512319796 (1.4 GiB)  TX bytes:66152895 (63.0 MiB)

Laut ifconfig sind aber 386132 Bytes (RX) und 13651 (TX) Bytes durchgerauscht.

Die Werte des Switches habe ich jetzt vergessen aufzuschreiben, aber nach einigen Tests sind es dort größenmäßig immer ca. 10 MB mehr als die ifconfig-Werte. Ist also irgendwie kalkulierbar.

Habe ich da irgendwo einen Denkfehler und die iptables-Regeln nehmen doch nicht alles auf?

Wäre super, wenn mir jemand weiterhelfen könnte, denn auch die diversen iptables-Dokus bringen mich nicht weiter.

Vielen Dank!

Gruss,
Alexander

[alexander newald]

Die IPTables Regeln zählen nur den Traffic für deine IP, ifconfig alles, was bei der Netzwerkkarte ankommt.

[netzmeister]

Hi!

Die IPTables Regeln zählen nur den Traffic für deine IP, ifconfig alles, was bei der Netzwerkkarte ankommt.

Okay, ist verständlich. Trotzdem sollte sich der "unnötige Traffic" ja in Grenzen halten, oder?

Ich habe extra mal den Rechner neu gestartet, um zeitgleich mit iptables und ifconfig messen zu können.

ifconfig: RX bytes:225665819 (215.2 MiB) TX bytes:3802266 (3.6 MiB)
iptables: INPUT (3227K bytes), OUTPUT (3507K bytes)

Ã?ber 200 MB "fremder" Traffic bei knapp 7 MB "eigenem" Traffic!?

Gibts Vergleichswerte von anderen?

Per tcpdump ermittelt, wird mein Server pausenlos mit folgendem zugemüllt:

XXXXXXXXXXXXXXXXXX -> ff:ff:ff:ff:ff:ff ARP Who has 217.XXXXXXXXXX? Tell 217.XXXXXXXX

Eine denkbar ungünstige Situation, wenn nach GB abgerechnet wird ...

Gruss,
Alexander

[alexander newald]

Poste doch mal für eine Sekunde die Ausgabe von tcpdump

[netzmeister]

Hi,

Poste doch mal für eine Sekunde die Ausgabe von tcpdump

Will das Forum nicht sprengen, hab einen Logausschnitt unter http://XXX.XXX.XX/XXXXXXXX.XXX [~120 kb] bereitgestellt.

Ist ein typischer Ausschnitt, wie es größtenteils aussieht.

Danke!

Gruss,
Alexander

[dea]

sieht lustig aus ;)

Mir stellt sich die Frage, wie der betroffene Rechner/das betroffene Interface angebunden ist. Normalerweise müssten/sollten solche ARPAnfragen bei einer vernünftigen Switch-Konfiguration garnicht auftauchen.

[netzmeister]

naja, soo lustig find' ich es nicht, denn ich muss das ja alles zahlen :-8

werde mal dem support schreiben.

gruss,
alex

[dea]

naja, soo lustig find' ich es nicht, denn ich muss das ja alles zahlen :-8

Kann ich gut verstehen, deshalb auch der ;)

werde mal dem support schreiben.

gruss,
alex

Schon Antwort bekommen?

Schlagt mich, wenn ich falsch liege, aber aus dem tcpdump-Log geht für mich klar hervor, dass hier ARP-Broadcasts über eine Collision-Domain hinweggeleitet werden - was insbesondere bei einem Switch zwar machbar, aber weder "regelkonform" noch sinnvoll ist.

Noch ein paar Fragen:

• Mit welchen Optionen hast Du tcpdump aufgerufen?
• Hängt die Maschine direkt am Switch oder klemmt da noch ein Hub dazwischen?
• Wäre es möglich, ein paar mehr Details über die Netzwerkkonfiguration der Maschine (logische Position im Netz, verwendete IP-Adressen auf den Interfaces) zu erfahren?

[netzmeister]

Hi!

Schon Antwort bekommen?

Nein, mir hat es nicht mehr gereicht zu schreiben. Werde ich aber gleich tun.

Schlagt mich, wenn ich falsch liege, aber aus dem tcpdump-Log geht für mich klar hervor, dass hier ARP-Broadcasts über eine Collision-Domain hinweggeleitet werden - was insbesondere bei einem Switch zwar machbar, aber weder "regelkonform" noch sinnvoll ist.

Gut zu wissen. Bin gespannt, was der Support sagt.

Mit welchen Optionen hast Du tcpdump aufgerufen?

Mit gar keinen. Einfach nur "nohup tcpdump > dump &" und dann ein logout.

Hängt die Maschine direkt am Switch oder klemmt da noch ein Hub dazwischen?

Wenn ich das beim Einbau des Servers und Rundgang durchs RZ richtig gesehen und verstanden habe, hängt die Maschine direkt an einem Cisco-Switch.

Wäre es möglich, ein paar mehr Details über die Netzwerkkonfiguration der Maschine (logische Position im Netz, verwendete IP-Adressen auf den Interfaces) zu erfahren?

Hmm, lo auf 127.0.0.1, eth0 auf 217.XX.XXX.XXX, Netzmaske 255.255.255.0, Gateway 217.XX.XXX.X

Genauere Details zum RZ-Netz weiss ich nicht, ausser das, was hier jetzt alles steht.

Momentan übrigens "ifconfig":
RX bytes:375770422 (358.3 MiB) TX bytes:12126988 (11.5 MiB)

Und "iptables --list -v":
Chain INPUT (policy ACCEPT 42642 packets, 3415K bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 23416 packets, 12M bytes)

Um nochmal sicherzugehen: iptables zählt wirklich alles mit, was für meine IP bestimmt ist?

Gruss und Dank,
Alexander

EDIT: IPs und traceroute raus