Re: ng_ipacct, icmp, udp

From

Eugene Grosbein (2:5006/1)

To

Kir (2:5054/37.63)

Date

2006-12-09T14:15:20Z

Area

RU.UNIX.BSD

Reply-To: eugen@grosbein.pp.ru

09 дек 2006, суббота, в 09:56 KRAST, Kir написал(а):

 K> Снятие статистики с одного из клиентов показывало следующую хрень раз 10
 K> в течении часа
 K> 2886734135  0  1466564945  0  1  1319364  1827831292  1165518000
 K> 2886734135  8  1466564945  0  1  18543    25886028    1165518000
 K> 2886734135  3767  1466564945  80  17  100212  53428487  1165518000
 K> 2886734135  3770  1466564945  80  17  100265  53611142  1165518000
 K> 2886734135  3771  1466564945  80  17   99915  53403968  1165518000
 K> 2886734135  3768  1466564945  80  17  100548  53790552  1165518000
 K> 2886734135  3769  1466564945  80  17  100618  53612829  1165518000
 K> 2886734135  0  1466564945  0  1   496895  686982012   1165518300
 K> Расшифрую, гдето с 21.00 до 22.00 07.12.06 года с ip - 172.16.17.55 на
 K> 87.106.1.81 (www.computerbetrug.de) толи льется с бешенейшеся скоростухой
 K> udp (17) на 80 порт и icmp (1) пакеты, толи ng_ipacct переклинило.
 K> Статистика снимается раз в пять минут. Не верю я чтобы по icmp можно за
 K> пять минут слить 1827831292 байт! (У меня только в локалке 100Мбит а не
 K> до германского сайта)

Это вирусы сейчас такие пошли. stateless-протоколам типа udp/icmp
пофигу, сколько у тебя до германского сайта. Вирус на скорости интерфейса
льет.

Eugene
-- 
Choose no family
--- slrn/0.9.8.0 (FreeBSD)
 * Origin: Svyaz Service JSC (2:5006/1@fidonet)
SEEN-BY: 50/12 400/814 450/1024 5000/5000 5006/1 8 9 10 14 15 16 17 5011/13
SEEN-BY: 5012/46 5015/28 5019/26 5020/400 545 2238 2395 2871 4441 5021/29
SEEN-BY: 5025/3 5027/12 5030/1080 1957 5035/38 5045/7 5054/1 4 8 9 11 28 35 36
SEEN-BY: 5054/37 45 66 67 70 75 84 85 5059/9 5062/10 5063/3 5064/7 5076/1
SEEN-BY: 5077/70 5080/1003 5084/9 5085/13 5095/20 5096/18 6001/10

PATH: 5006/1 5020/400 545 5054/1 37