Page 1 of 2
6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-09 11:05
by cipi
hi, ich hatte heute nacht zwischen 4 und 4:30 Uhr 6 GB outgoing Traffic der mir nichts sagt.
Traffic-Tool sagt:
Code: Select all
udp
Default IN 0.09 MB
(0) OUT 5954.05 MB
Leider habe ich bisher bei google nur was mit filesharing gefunden, das auch port 0 zugreift.
hat jemand noch eine andere idee?
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-09 18:36
by andre丨
Hallo,
eventuell wird dein Server als Warez Tauschplatz benutzt. Würde dir empfehlen alles genau zu überprüfen. Einen Flood schliesse ich hier aus, da es sich ausschliesslich um OUTGOING Traffic handelt.
Kann mich aber auch irren.
mfg
Andre
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-09 18:57
by cipi
würde dann der traffic nicht bei http angezeigt?
dort stehen ja ganz regulär 100 MB ....
??
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 07:03
by lambras
> eventuell wird dein Server als Warez Tauschplatz benutzt
Aber nicht via UDP-Pakete.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 10:03
by cipi
ja, genau das mit den udp-paketen wundert mich ja auch.
was gibt es denn da für Anwendungen, die 6 GB in einer halben Stunde "verbraten"?
cipi
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 16:08
by Anonymous
wieso sollte man über UDP keine warez sharen...
is doch mal ne innovative idee...
ok, falls die diagramme nicht ankommen, muss die software das erkennen und selbst die daten neu anfordern im unterschied zu TCP... aber was solls?
denke mal eher das da einer gefloodet hat, check mal dein system
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 16:43
by captaincrunch
<klugscheiss>
Diagram != Datagram
</klugscheiss>
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 20:12
by cipi
kannst du mir noch einen tipp geben in welche richtung ich checken sollte?
/var/log/messages ist sauber. die http-logfiles auch.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 21:04
by rootmaster
cipi wrote:hi, ich hatte heute nacht zwischen 4 und 4:30 Uhr 6 GB outgoing Traffic der mir nichts sagt.
Traffic-Tool sagt:
Code: Select all
udp
Default IN 0.09 MB
(0) OUT 5954.05 MB
Leider habe ich bisher bei google nur was mit filesharing gefunden, das auch port 0 zugreift.
hat jemand noch eine andere idee?
zuerst:
womit hast du das geloggt ?? hast du weitere infos (ip's, dports,..) ??
nun, normalerweise ist port 0 reserviert und es sollte kein udp/tcp-traffic übers netzwerk laufen !
oftmals wird port 0 benutzt, um darüber in der socket-programmierung unpreviligierte ports dynamisch zuzuweisen; da dies os-spezifisch läuft, wird dafür oft port 0 von aussen "geprobt"; auch geht dieses os-fingerprinting primär von port 0 aus.
da du hohen outgoing und geringen incoming traffic hast, würde dies aber eher von deinem server ausgehen. jedoch ist dafür imho der traffic zu hoch.
andere möglichkeit wäre, dass auf port 0 ein trojaner antwortet, ähnlich "click attack"; der basiert imho aber auf icmp und läuft auf windosen ;)
als weitere möglichkeit besteht natürlich noch die möglichkeit, dass (u.a.) über deinen server udp-floodings gemacht wurden ?!
"back to the roots"
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-10 21:21
by alexander newald
Ja, du liest die Ausgabe des Traffic Tools falsch ;-)
Die beiden Zeilen gehören zusammen und bedeuten
Default (0)
IN: 0,09 MB
OUT: 5954,05 MB
0 steht nur da, da es keinen Port "Default" gibt.
Soll also bedeuten, dass irgendetwas kanpp 6 GB UDP outgoing Traffic gemacht hat.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-11 11:15
by dea
Alexander Newald wrote:Ja, du liest die Ausgabe des Traffic Tools falsch ;-)
Die beiden Zeilen gehören zusammen und bedeuten
Default (0)
IN: 0,09 MB
OUT: 5954,05 MB
0 steht nur da, da es keinen Port "Default" gibt.
Soll also bedeuten, dass irgendetwas kanpp 6 GB UDP outgoing Traffic gemacht hat.
Gameserver?
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-11 11:41
by alexander newald
Aber nur 0,09 MB IN ? Oder ist das durch andere Ports abgedeckt? Poste doch mal die URL von der Statistik.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-11 11:48
by dea
Alexander Newald wrote:Aber nur 0,09 MB IN ? Oder ist das durch andere Ports abgedeckt? Poste doch mal die URL von der Statistik.
Hmm - hast recht. Ich hatte nicht auf den incoming Traffic geachtet. :oops:
Jo cipi, tu mal Link zur Statistik oder aber genaue Ausgabe der Konsole inkl. Aufruf posten. Habe den Verdacht, dass mit der verqueren Formatierung noch mehr durcheinandergeraten ist ... ;)
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-12 09:46
by netzmeister
Hi!
Ich hoffe, der Originalposter ist mir nicht böse, wenn ich mich hier mal kurz einklinke, denn ich habe auch ein kleines Problem mit dem Traffic Tool.
Ich habe 3 Stellen, an denen ich den verbrauchten Traffic abrufen kann: Online-Anzeige direkt vom Switch, ifconfig und Traffic Tool.
Das Problem ist, dass ich
a) der Online-Anzeige vom Switch trauen muss, d.h. die wird relativ genau sein
b) ifconfig stets ca. 5-10% unter der Anzeige von a) bleibt
c) Traffic Tool nur einen Bruchteil des Traffics erfasst (Switch: ~300 MB, ifconfig ~280 MB, Traffic Tool ~20 MB)
Ich hätte nun einige Fragen; vielleicht kennt sich ja jemand damit aus.
Welcher Traffic läuft denn am Switch auf, den ich direkt auf dem Server gar nicht mehr sehe? Können doch eigentlich nur Anfragen an Ports sein, auf denen bei mir gar nichts läuft und Broadcasts, oder?
Ein gewisses Grundrauschen ist ja normal, aber ich habe auf einem Testrechner ca. 400 MB / Tag ohne großartig Dienste am laufen zu haben (smtp, pop3) - zumindest laut Switch-Anzeige.
Warum aber sehe ich im Traffic Toll nur so wenig?
Gruss,
Alexander
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-12 09:56
by alexander newald
Normalerweise sieht das Traffic Tool auch allen Traffic für die IP's, die auf dem Rechner konfiguriert sind, allerdings müssen in der Config Datei auch alle IP's, die überwacht werden sollen, angegeben werden. Der Switch und ifconfig sollten eigendlich relativ gleiche Ergebnisse liefern, denn alles was der Switch dem Port an dem dein Server hängt durchleitet und berechnet, sollte auch die Netzwerkkarte sehen.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-16 16:09
by cipi
der incoming traffic war ganz normal. so sieht es jetzt aus ...
Code: Select all
icmp
Default IN 2.31 MB
(0) OUT 0.84 MB
tcp
Default IN 18.18 MB
(0) OUT 70.66 MB
ftp IN 0.01 MB
(21) OUT 0.00 MB
ssh IN 0.00 MB
(22) OUT 0.00 MB
smtp IN 1.01 MB
(25) OUT 1.06 MB
http IN 11.22 MB
(80) OUT 124.05 MB
pop3 IN 0.00 MB
(110) OUT 0.00 MB
imap IN 0.00 MB
(143) OUT 0.00 MB
shell IN 0.00 MB
(514) OUT 0.00 MB
mysql IN 0.00 MB
(3306) OUT 0.00 MB
udp
Default IN 0.44 MB
(0) OUT 5954.17 MB
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-16 16:11
by netzmeister
Hi!
Sorry, dass ich mich erst jetzt wieder melde, aber ich habe mal ein paar Tests wegen des Traffics gemacht.
Vorgehensweise:
iptables -F
iptables -X
iptables -N countingTCP
iptables -N countingUDP
iptables -A INPUT -p tcp -j countingTCP
iptables -A INPUT -p udp -j countingUDP
iptables -A OUTPUT -p tcp -j countingTCP
iptables -A OUTPUT -p udp -j countingUDP
iptables -A FORWARD -p tcp -j countingTCP
iptables -A FORWARD -p udp -j countingUDP
Damit müsste ich doch nun "Generell-Regeln" haben, die _jeglichen_ Traffic zählen, oder?
Reales Beispiel von gerade eben:
iptables --list -v
Code: Select all
Chain INPUT (policy ACCEPT 136 packets, 11201 bytes)
pkts bytes target prot opt in out source destination
107 8944 countingTCP tcp -- any any anywhere anywhere
27 2009 countingUDP udp -- any any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 countingTCP tcp -- any any anywhere anywhere
0 0 countingUDP udp -- any any anywhere anywhere
Chain OUTPUT (policy ACCEPT 149 packets, 11031 bytes)
pkts bytes target prot opt in out source destination
1 71 countingUDP udp -- any any anywhere anywhere
146 10656 countingTCP tcp -- any any anywhere anywhere
Chain countingTCP (3 references)
pkts bytes target prot opt in out source destination
Chain countingUDP (3 references)
pkts bytes target prot opt in out source destination
Mach laut iptables also Traffic von 22232 Bytes.
ifconfig eth0 spuckt da aber ganz andere Werte aus:
Code: Select all
RX bytes:1511933664 (1.4 GiB) TX bytes:66139244 (63.0 MiB)
...
RX bytes:1512319796 (1.4 GiB) TX bytes:66152895 (63.0 MiB)
Laut ifconfig sind aber 386132 Bytes (RX) und 13651 (TX) Bytes durchgerauscht.
Die Werte des Switches habe ich jetzt vergessen aufzuschreiben, aber nach einigen Tests sind es dort größenmäßig immer ca. 10 MB mehr als die ifconfig-Werte. Ist also irgendwie kalkulierbar.
Habe ich da irgendwo einen Denkfehler und die iptables-Regeln nehmen doch nicht alles auf?
Wäre super, wenn mir jemand weiterhelfen könnte, denn auch die diversen iptables-Dokus bringen mich nicht weiter.
Vielen Dank!
Gruss,
Alexander
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-16 16:30
by alexander newald
Die IPTables Regeln zählen nur den Traffic für deine IP, ifconfig alles, was bei der Netzwerkkarte ankommt.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-19 00:03
by netzmeister
Hi!
Alexander Newald wrote:Die IPTables Regeln zählen nur den Traffic für deine IP, ifconfig alles, was bei der Netzwerkkarte ankommt.
Okay, ist verständlich. Trotzdem sollte sich der "unnötige Traffic" ja in Grenzen halten, oder?
Ich habe extra mal den Rechner neu gestartet, um zeitgleich mit iptables und ifconfig messen zu können.
ifconfig: RX bytes:225665819 (215.2 MiB) TX bytes:3802266 (3.6 MiB)
iptables: INPUT (3227K bytes), OUTPUT (3507K bytes)
Ã?ber 200 MB "fremder" Traffic bei knapp 7 MB "eigenem" Traffic!?
Gibts Vergleichswerte von anderen?
Per tcpdump ermittelt, wird mein Server pausenlos mit folgendem zugemüllt:
XXXXXXXXXXXXXXXXXX -> ff:ff:ff:ff:ff:ff ARP Who has 217.XXXXXXXXXX? Tell 217.XXXXXXXX
Eine denkbar ungünstige Situation, wenn nach GB abgerechnet wird ...
Gruss,
Alexander
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-19 00:58
by alexander newald
Poste doch mal für eine Sekunde die Ausgabe von tcpdump
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-19 10:06
by netzmeister
Hi,
Alexander Newald wrote:Poste doch mal für eine Sekunde die Ausgabe von tcpdump
Will das Forum nicht sprengen, hab einen Logausschnitt unter
http://XXX.XXX.XX/XXXXXXXX.XXX [~120 kb] bereitgestellt.
Ist ein typischer Ausschnitt, wie es größtenteils aussieht.
Danke!
Gruss,
Alexander
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-19 23:42
by dea
sieht lustig aus ;)
Mir stellt sich die Frage, wie der betroffene Rechner/das betroffene Interface angebunden ist. Normalerweise müssten/sollten solche ARPAnfragen bei einer vernünftigen Switch-Konfiguration garnicht auftauchen.
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-20 09:14
by netzmeister
naja, soo lustig find' ich es nicht, denn ich muss das ja alles zahlen :-8
werde mal dem support schreiben.
gruss,
alex
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-21 13:40
by dea
netzmeister wrote:naja, soo lustig find' ich es nicht, denn ich muss das ja alles zahlen :-8
Kann ich gut verstehen, deshalb auch der ;)
werde mal dem support schreiben.
gruss,
alex
Schon Antwort bekommen?
Schlagt mich, wenn ich falsch liege, aber aus dem tcpdump-Log geht für mich klar hervor, dass hier ARP-Broadcasts über eine Collision-Domain hinweggeleitet werden - was insbesondere bei einem Switch zwar machbar, aber weder "regelkonform" noch sinnvoll ist.
Noch ein paar Fragen:
- Mit welchen Optionen hast Du tcpdump aufgerufen?
- Hängt die Maschine direkt am Switch oder klemmt da noch ein Hub dazwischen?
- Wäre es möglich, ein paar mehr Details über die Netzwerkkonfiguration der Maschine (logische Position im Netz, verwendete IP-Adressen auf den Interfaces) zu erfahren?
Re: 6 GB Traffic auf Port 0 (udp)
Posted: 2004-02-21 14:23
by netzmeister
Hi!
Schon Antwort bekommen?
Nein, mir hat es nicht mehr gereicht zu schreiben. Werde ich aber gleich tun.
Schlagt mich, wenn ich falsch liege, aber aus dem tcpdump-Log geht für mich klar hervor, dass hier ARP-Broadcasts über eine Collision-Domain hinweggeleitet werden - was insbesondere bei einem Switch zwar machbar, aber weder "regelkonform" noch sinnvoll ist.
Gut zu wissen. Bin gespannt, was der Support sagt.
Mit welchen Optionen hast Du tcpdump aufgerufen?
Mit gar keinen. Einfach nur "nohup tcpdump > dump &" und dann ein logout.
Hängt die Maschine direkt am Switch oder klemmt da noch ein Hub dazwischen?
Wenn ich das beim Einbau des Servers und Rundgang durchs RZ richtig gesehen und verstanden habe, hängt die Maschine direkt an einem Cisco-Switch.
Wäre es möglich, ein paar mehr Details über die Netzwerkkonfiguration der Maschine (logische Position im Netz, verwendete IP-Adressen auf den Interfaces) zu erfahren?
Hmm, lo auf 127.0.0.1, eth0 auf 217.XX.XXX.XXX, Netzmaske 255.255.255.0, Gateway 217.XX.XXX.X
Genauere Details zum RZ-Netz weiss ich nicht, ausser das, was hier jetzt alles steht.
Momentan übrigens "ifconfig":
RX bytes:375770422 (358.3 MiB) TX bytes:12126988 (11.5 MiB)
Und "iptables --list -v":
Chain INPUT (policy ACCEPT 42642 packets, 3415K bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 23416 packets, 12M bytes)
Um nochmal sicherzugehen: iptables zählt wirklich
alles mit, was
für meine IP bestimmt ist?
Gruss und Dank,
Alexander
EDIT: IPs und traceroute raus