6 GB Traffic auf Port 0 (udp)

Lesenswerte Artikel, Anleitungen und Diskussionen
cipi
Posts: 39
Joined: 2002-10-25 01:15
Location: Karlsruhe

6 GB Traffic auf Port 0 (udp)

Post by cipi » 2004-02-09 11:05

hi, ich hatte heute nacht zwischen 4 und 4:30 Uhr 6 GB outgoing Traffic der mir nichts sagt.

Traffic-Tool sagt:

Code: Select all

udp       
 Default  IN  0.09 MB   
 
 (0)  OUT  5954.05 MB 
Leider habe ich bisher bei google nur was mit filesharing gefunden, das auch port 0 zugreift.

hat jemand noch eine andere idee?

andre丨
Posts: 125
Joined: 2003-09-28 13:34

Re: 6 GB Traffic auf Port 0 (udp)

Post by andre丨 » 2004-02-09 18:36

Hallo,
eventuell wird dein Server als Warez Tauschplatz benutzt. Würde dir empfehlen alles genau zu überprüfen. Einen Flood schliesse ich hier aus, da es sich ausschliesslich um OUTGOING Traffic handelt.

Kann mich aber auch irren.
mfg
Andre

cipi
Posts: 39
Joined: 2002-10-25 01:15
Location: Karlsruhe

Re: 6 GB Traffic auf Port 0 (udp)

Post by cipi » 2004-02-09 18:57

würde dann der traffic nicht bei http angezeigt?
dort stehen ja ganz regulär 100 MB ....

??

lambras
RSAC
Posts: 90
Joined: 2002-05-29 16:35
Location: Frankfurt am Main

Re: 6 GB Traffic auf Port 0 (udp)

Post by lambras » 2004-02-10 07:03

> eventuell wird dein Server als Warez Tauschplatz benutzt

Aber nicht via UDP-Pakete.

cipi
Posts: 39
Joined: 2002-10-25 01:15
Location: Karlsruhe

Re: 6 GB Traffic auf Port 0 (udp)

Post by cipi » 2004-02-10 10:03

ja, genau das mit den udp-paketen wundert mich ja auch.
was gibt es denn da für Anwendungen, die 6 GB in einer halben Stunde "verbraten"?

cipi

Anonymous

Re: 6 GB Traffic auf Port 0 (udp)

Post by Anonymous » 2004-02-10 16:08

wieso sollte man über UDP keine warez sharen...
is doch mal ne innovative idee...
ok, falls die diagramme nicht ankommen, muss die software das erkennen und selbst die daten neu anfordern im unterschied zu TCP... aber was solls?

denke mal eher das da einer gefloodet hat, check mal dein system

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: 6 GB Traffic auf Port 0 (udp)

Post by captaincrunch » 2004-02-10 16:43

<klugscheiss>
Diagram != Datagram
</klugscheiss>
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

cipi
Posts: 39
Joined: 2002-10-25 01:15
Location: Karlsruhe

Re: 6 GB Traffic auf Port 0 (udp)

Post by cipi » 2004-02-10 20:12

kannst du mir noch einen tipp geben in welche richtung ich checken sollte?

/var/log/messages ist sauber. die http-logfiles auch.

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: 6 GB Traffic auf Port 0 (udp)

Post by rootmaster » 2004-02-10 21:04

cipi wrote:hi, ich hatte heute nacht zwischen 4 und 4:30 Uhr 6 GB outgoing Traffic der mir nichts sagt.

Traffic-Tool sagt:

Code: Select all

udp       
 Default  IN  0.09 MB   
 
 (0)  OUT  5954.05 MB 
Leider habe ich bisher bei google nur was mit filesharing gefunden, das auch port 0 zugreift.

hat jemand noch eine andere idee?
zuerst:
womit hast du das geloggt ?? hast du weitere infos (ip's, dports,..) ??

nun, normalerweise ist port 0 reserviert und es sollte kein udp/tcp-traffic übers netzwerk laufen !
oftmals wird port 0 benutzt, um darüber in der socket-programmierung unpreviligierte ports dynamisch zuzuweisen; da dies os-spezifisch läuft, wird dafür oft port 0 von aussen "geprobt"; auch geht dieses os-fingerprinting primär von port 0 aus.
da du hohen outgoing und geringen incoming traffic hast, würde dies aber eher von deinem server ausgehen. jedoch ist dafür imho der traffic zu hoch.
andere möglichkeit wäre, dass auf port 0 ein trojaner antwortet, ähnlich "click attack"; der basiert imho aber auf icmp und läuft auf windosen ;)
als weitere möglichkeit besteht natürlich noch die möglichkeit, dass (u.a.) über deinen server udp-floodings gemacht wurden ?!

"back to the roots"

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 6 GB Traffic auf Port 0 (udp)

Post by alexander newald » 2004-02-10 21:21

Ja, du liest die Ausgabe des Traffic Tools falsch ;-)

Die beiden Zeilen gehören zusammen und bedeuten

Default (0)

IN: 0,09 MB
OUT: 5954,05 MB

0 steht nur da, da es keinen Port "Default" gibt.

Soll also bedeuten, dass irgendetwas kanpp 6 GB UDP outgoing Traffic gemacht hat.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: 6 GB Traffic auf Port 0 (udp)

Post by dea » 2004-02-11 11:15

Alexander Newald wrote:Ja, du liest die Ausgabe des Traffic Tools falsch ;-)

Die beiden Zeilen gehören zusammen und bedeuten

Default (0)

IN: 0,09 MB
OUT: 5954,05 MB

0 steht nur da, da es keinen Port "Default" gibt.

Soll also bedeuten, dass irgendetwas kanpp 6 GB UDP outgoing Traffic gemacht hat.
Gameserver?

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 6 GB Traffic auf Port 0 (udp)

Post by alexander newald » 2004-02-11 11:41

Aber nur 0,09 MB IN ? Oder ist das durch andere Ports abgedeckt? Poste doch mal die URL von der Statistik.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: 6 GB Traffic auf Port 0 (udp)

Post by dea » 2004-02-11 11:48

Alexander Newald wrote:Aber nur 0,09 MB IN ? Oder ist das durch andere Ports abgedeckt? Poste doch mal die URL von der Statistik.
Hmm - hast recht. Ich hatte nicht auf den incoming Traffic geachtet. :oops:

Jo cipi, tu mal Link zur Statistik oder aber genaue Ausgabe der Konsole inkl. Aufruf posten. Habe den Verdacht, dass mit der verqueren Formatierung noch mehr durcheinandergeraten ist ... ;)

netzmeister
Posts: 25
Joined: 2003-06-11 00:50
Location: Stuttgart

Re: 6 GB Traffic auf Port 0 (udp)

Post by netzmeister » 2004-02-12 09:46

Hi!

Ich hoffe, der Originalposter ist mir nicht böse, wenn ich mich hier mal kurz einklinke, denn ich habe auch ein kleines Problem mit dem Traffic Tool.

Ich habe 3 Stellen, an denen ich den verbrauchten Traffic abrufen kann: Online-Anzeige direkt vom Switch, ifconfig und Traffic Tool.

Das Problem ist, dass ich

a) der Online-Anzeige vom Switch trauen muss, d.h. die wird relativ genau sein

b) ifconfig stets ca. 5-10% unter der Anzeige von a) bleibt

c) Traffic Tool nur einen Bruchteil des Traffics erfasst (Switch: ~300 MB, ifconfig ~280 MB, Traffic Tool ~20 MB)

Ich hätte nun einige Fragen; vielleicht kennt sich ja jemand damit aus.

Welcher Traffic läuft denn am Switch auf, den ich direkt auf dem Server gar nicht mehr sehe? Können doch eigentlich nur Anfragen an Ports sein, auf denen bei mir gar nichts läuft und Broadcasts, oder?

Ein gewisses Grundrauschen ist ja normal, aber ich habe auf einem Testrechner ca. 400 MB / Tag ohne großartig Dienste am laufen zu haben (smtp, pop3) - zumindest laut Switch-Anzeige.

Warum aber sehe ich im Traffic Toll nur so wenig?

Gruss,
Alexander

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 6 GB Traffic auf Port 0 (udp)

Post by alexander newald » 2004-02-12 09:56

Normalerweise sieht das Traffic Tool auch allen Traffic für die IP's, die auf dem Rechner konfiguriert sind, allerdings müssen in der Config Datei auch alle IP's, die überwacht werden sollen, angegeben werden. Der Switch und ifconfig sollten eigendlich relativ gleiche Ergebnisse liefern, denn alles was der Switch dem Port an dem dein Server hängt durchleitet und berechnet, sollte auch die Netzwerkkarte sehen.

cipi
Posts: 39
Joined: 2002-10-25 01:15
Location: Karlsruhe

Re: 6 GB Traffic auf Port 0 (udp)

Post by cipi » 2004-02-16 16:09

der incoming traffic war ganz normal. so sieht es jetzt aus ...

Code: Select all

icmp       
 Default  IN  2.31 MB   
 
 (0)  OUT  0.84 MB   
 

       
tcp       
 Default  IN  18.18 MB   
 
 (0)  OUT  70.66 MB   
 

       
 ftp  IN  0.01 MB   
 
 (21)  OUT  0.00 MB   
 

       
 ssh  IN  0.00 MB   
 
 (22)  OUT  0.00 MB   
 

       
 smtp  IN  1.01 MB   
 
 (25)  OUT  1.06 MB   
 

       
 http  IN  11.22 MB   
 
 (80)  OUT  124.05 MB   
 

       
 pop3  IN  0.00 MB   
 
 (110)  OUT  0.00 MB   
 

       
 imap  IN  0.00 MB   
 
 (143)  OUT  0.00 MB   
 

       
 shell  IN  0.00 MB   
 
 (514)  OUT  0.00 MB   
 

       
 mysql  IN  0.00 MB   
 
 (3306)  OUT  0.00 MB   
 

       
udp       
 Default  IN  0.44 MB   
 
 (0)  OUT  5954.17 MB 

netzmeister
Posts: 25
Joined: 2003-06-11 00:50
Location: Stuttgart

Re: 6 GB Traffic auf Port 0 (udp)

Post by netzmeister » 2004-02-16 16:11

Hi!

Sorry, dass ich mich erst jetzt wieder melde, aber ich habe mal ein paar Tests wegen des Traffics gemacht.

Vorgehensweise:

iptables -F
iptables -X

iptables -N countingTCP
iptables -N countingUDP

iptables -A INPUT -p tcp -j countingTCP
iptables -A INPUT -p udp -j countingUDP

iptables -A OUTPUT -p tcp -j countingTCP
iptables -A OUTPUT -p udp -j countingUDP

iptables -A FORWARD -p tcp -j countingTCP
iptables -A FORWARD -p udp -j countingUDP

Damit müsste ich doch nun "Generell-Regeln" haben, die _jeglichen_ Traffic zählen, oder?

Reales Beispiel von gerade eben:

iptables --list -v

Code: Select all

Chain INPUT (policy ACCEPT 136 packets, 11201 bytes)
 pkts bytes target     prot opt in     out     source               destination
  107  8944 countingTCP  tcp  --  any    any     anywhere             anywhere
   27  2009 countingUDP  udp  --  any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 countingTCP  tcp  --  any    any     anywhere             anywhere
    0     0 countingUDP  udp  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 149 packets, 11031 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    71 countingUDP  udp  --  any    any     anywhere             anywhere
  146 10656 countingTCP  tcp  --  any    any     anywhere             anywhere

Chain countingTCP (3 references)
 pkts bytes target     prot opt in     out     source               destination

Chain countingUDP (3 references)
 pkts bytes target     prot opt in     out     source               destination
Mach laut iptables also Traffic von 22232 Bytes.

ifconfig eth0 spuckt da aber ganz andere Werte aus:

Code: Select all

          RX bytes:1511933664 (1.4 GiB)  TX bytes:66139244 (63.0 MiB)
          ...
          RX bytes:1512319796 (1.4 GiB)  TX bytes:66152895 (63.0 MiB)
Laut ifconfig sind aber 386132 Bytes (RX) und 13651 (TX) Bytes durchgerauscht.

Die Werte des Switches habe ich jetzt vergessen aufzuschreiben, aber nach einigen Tests sind es dort größenmäßig immer ca. 10 MB mehr als die ifconfig-Werte. Ist also irgendwie kalkulierbar.

Habe ich da irgendwo einen Denkfehler und die iptables-Regeln nehmen doch nicht alles auf?

Wäre super, wenn mir jemand weiterhelfen könnte, denn auch die diversen iptables-Dokus bringen mich nicht weiter.

Vielen Dank!

Gruss,
Alexander

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 6 GB Traffic auf Port 0 (udp)

Post by alexander newald » 2004-02-16 16:30

Die IPTables Regeln zählen nur den Traffic für deine IP, ifconfig alles, was bei der Netzwerkkarte ankommt.

netzmeister
Posts: 25
Joined: 2003-06-11 00:50
Location: Stuttgart

Re: 6 GB Traffic auf Port 0 (udp)

Post by netzmeister » 2004-02-19 00:03

Hi!
Alexander Newald wrote:Die IPTables Regeln zählen nur den Traffic für deine IP, ifconfig alles, was bei der Netzwerkkarte ankommt.
Okay, ist verständlich. Trotzdem sollte sich der "unnötige Traffic" ja in Grenzen halten, oder?

Ich habe extra mal den Rechner neu gestartet, um zeitgleich mit iptables und ifconfig messen zu können.

ifconfig: RX bytes:225665819 (215.2 MiB) TX bytes:3802266 (3.6 MiB)
iptables: INPUT (3227K bytes), OUTPUT (3507K bytes)

Ã?ber 200 MB "fremder" Traffic bei knapp 7 MB "eigenem" Traffic!?

Gibts Vergleichswerte von anderen?

Per tcpdump ermittelt, wird mein Server pausenlos mit folgendem zugemüllt:

XXXXXXXXXXXXXXXXXX -> ff:ff:ff:ff:ff:ff ARP Who has 217.XXXXXXXXXX? Tell 217.XXXXXXXX

Eine denkbar ungünstige Situation, wenn nach GB abgerechnet wird ...

Gruss,
Alexander
Last edited by netzmeister on 2004-02-22 22:45, edited 1 time in total.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: 6 GB Traffic auf Port 0 (udp)

Post by alexander newald » 2004-02-19 00:58

Poste doch mal für eine Sekunde die Ausgabe von tcpdump

netzmeister
Posts: 25
Joined: 2003-06-11 00:50
Location: Stuttgart

Re: 6 GB Traffic auf Port 0 (udp)

Post by netzmeister » 2004-02-19 10:06

Hi,
Alexander Newald wrote:Poste doch mal für eine Sekunde die Ausgabe von tcpdump
Will das Forum nicht sprengen, hab einen Logausschnitt unter http://XXX.XXX.XX/XXXXXXXX.XXX [~120 kb] bereitgestellt.

Ist ein typischer Ausschnitt, wie es größtenteils aussieht.

Danke!

Gruss,
Alexander
Last edited by netzmeister on 2004-02-22 22:46, edited 1 time in total.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: 6 GB Traffic auf Port 0 (udp)

Post by dea » 2004-02-19 23:42

sieht lustig aus ;)

Mir stellt sich die Frage, wie der betroffene Rechner/das betroffene Interface angebunden ist. Normalerweise müssten/sollten solche ARPAnfragen bei einer vernünftigen Switch-Konfiguration garnicht auftauchen.

netzmeister
Posts: 25
Joined: 2003-06-11 00:50
Location: Stuttgart

Re: 6 GB Traffic auf Port 0 (udp)

Post by netzmeister » 2004-02-20 09:14

naja, soo lustig find' ich es nicht, denn ich muss das ja alles zahlen :-8

werde mal dem support schreiben.

gruss,
alex

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: 6 GB Traffic auf Port 0 (udp)

Post by dea » 2004-02-21 13:40

netzmeister wrote:naja, soo lustig find' ich es nicht, denn ich muss das ja alles zahlen :-8
Kann ich gut verstehen, deshalb auch der ;)
werde mal dem support schreiben.

gruss,
alex
Schon Antwort bekommen?

Schlagt mich, wenn ich falsch liege, aber aus dem tcpdump-Log geht für mich klar hervor, dass hier ARP-Broadcasts über eine Collision-Domain hinweggeleitet werden - was insbesondere bei einem Switch zwar machbar, aber weder "regelkonform" noch sinnvoll ist.

Noch ein paar Fragen:
  • Mit welchen Optionen hast Du tcpdump aufgerufen?
  • Hängt die Maschine direkt am Switch oder klemmt da noch ein Hub dazwischen?
  • Wäre es möglich, ein paar mehr Details über die Netzwerkkonfiguration der Maschine (logische Position im Netz, verwendete IP-Adressen auf den Interfaces) zu erfahren?

netzmeister
Posts: 25
Joined: 2003-06-11 00:50
Location: Stuttgart

Re: 6 GB Traffic auf Port 0 (udp)

Post by netzmeister » 2004-02-21 14:23

Hi!
Schon Antwort bekommen?
Nein, mir hat es nicht mehr gereicht zu schreiben. Werde ich aber gleich tun.
Schlagt mich, wenn ich falsch liege, aber aus dem tcpdump-Log geht für mich klar hervor, dass hier ARP-Broadcasts über eine Collision-Domain hinweggeleitet werden - was insbesondere bei einem Switch zwar machbar, aber weder "regelkonform" noch sinnvoll ist.
Gut zu wissen. Bin gespannt, was der Support sagt.
Mit welchen Optionen hast Du tcpdump aufgerufen?
Mit gar keinen. Einfach nur "nohup tcpdump > dump &" und dann ein logout.
Hängt die Maschine direkt am Switch oder klemmt da noch ein Hub dazwischen?
Wenn ich das beim Einbau des Servers und Rundgang durchs RZ richtig gesehen und verstanden habe, hängt die Maschine direkt an einem Cisco-Switch.
Wäre es möglich, ein paar mehr Details über die Netzwerkkonfiguration der Maschine (logische Position im Netz, verwendete IP-Adressen auf den Interfaces) zu erfahren?
Hmm, lo auf 127.0.0.1, eth0 auf 217.XX.XXX.XXX, Netzmaske 255.255.255.0, Gateway 217.XX.XXX.X

Genauere Details zum RZ-Netz weiss ich nicht, ausser das, was hier jetzt alles steht.

Momentan übrigens "ifconfig":
RX bytes:375770422 (358.3 MiB) TX bytes:12126988 (11.5 MiB)

Und "iptables --list -v":
Chain INPUT (policy ACCEPT 42642 packets, 3415K bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 23416 packets, 12M bytes)

Um nochmal sicherzugehen: iptables zählt wirklich alles mit, was für meine IP bestimmt ist?

Gruss und Dank,
Alexander

EDIT: IPs und traceroute raus
Last edited by netzmeister on 2004-02-22 22:47, edited 1 time in total.