Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Мобильные системы »
GPRS на Мегафон-Москва. Достал UDP-флуд.

Версия для печати (настроить)

Новая тема | Написать ответ

Подписаться

Автор Тема:   GPRS на Мегафон-Москва. Достал UDP-флуд.
bf
Member

Сообщений: 62
Откуда: RU
Регистрация: Август 2006

написано 15 Сентября 2006 14:11ИнфоПравкаОтветитьIP

Кто-нибудь сталкивался с проблемой - иногда при установлении GPRS-соединения на "Мегафоне" вдруг к вам на компьютер начинает упорно стучаться хост 193.201.228.19 по протоколу UDP на порт 4500. Что это может быть? Вирус, баг, фича ? Сколько ни общался с АС Мегафона на эту тему, отмазки приходили самые разнообразные, вот некоторые их них:
- всё потому, что у меня на компьютере вирус (даже если и предположить, какого чёрта траффик входящий?);
- IP-адрес очень легко подделать, и этот атакующий IP им вовсе не принадлежит (даже если и подделали, какого рожна такой пакет через их многочисленные NAT`ы и роутеры пролетает?);
- "спасибо за обращение, наши технические службы обнаружили и устранили уязвимость" ( ?! );
- "наши технические специалисты проверили качество предоставления услуг GPRS в указанном Вами районе, никаких проблем не было найдено";
- "пришлите нам показания Вашего счётчика траффика" (у меня-то есть, ну так что ж, у всех абонентов он должен стоять обязательно, чтоб не надули?);
- "у нас сейчас проводятся профилактические работы, поэтому.." (задолбали эти живые автоответчики );
- а также прочий репертуар из стандартных фраз.
А между тем траффик-то тикает, пакеты прибегают.. Даже если ничего на качаешь - плати.. Кто встречался с этим? Кто что может посоветовать?

Mixa1024
Moderator

Сообщений: 3028
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 15 Сентября 2006 16:34ИнфоПравкаОтветитьIP

bf
цитата:
The sole purpose of sending NAT-keepalive packets is to keep the UDP mappings in a NAPT device alive for the duration of a connection between the IPSec peers. The NAT-keepalive packet is a standard UDP message that uses the same UDP port 4500 as the IKE traffic, and contains a single octet (0xFF) as payload. The default NAT-keepalive interval is set to 20 seconds of inactivity on a given connection. Take note that no NAT-keepalive packets are sent on UDP port 500

По идее, heartbeat пакеты тарифицироваться как трафик не должны.

bf
Member

Сообщений: 63
Откуда: RU
Регистрация: Август 2006

написано 15 Сентября 2006 17:35ИнфоПравкаОтветитьIP

Mixa1024
1) явление наблюдается лишь иногда, а не постоянно;
2) само собой, "официальные заявления" АС ни в какие ворота не лезут, особенно на фоне, что
3) эти, паразитные для скорости подключения пакеты - платные! средства снимаются за весь траффик;
4) пакеты нещадно рубятся на подлёте, однако операторский NAT от этого не страдает;
5) ни UDP, ни ICMP в процессе пользования GPRS не используются;
6) у других операторов региона ничего подобного не наблюдается - если не считать msblast`овых и зомбированных пакетов от соседей по приватной подсети, но это есть у всех, и не только сотовых, провайдеров. А обо внешних IP и говорить нечего;
7) ни у меня, ни у моих коллег ни в Corporate-, ни в Home-networks - собственноручно созданных, на основе и Soft-, и HW- шлюзовых серверов, такого также не наблюдается.
Что за девайсы надо использовать, чтобы генерить этот паразитный траффик, и не специально ли это делается - вот что меня интересует. И, по ходу пьесы, всё отчетливее вырисовывается положительный ответ;
8) поставил ограничение по продолжительности Idle-сессии равным 15 минутам - равное интервалу округления порции траффика у оператора (это как защита от полной разрядки батарей плеера установкой времени автоотключения, только тут защищается баланс сотового номера / заряд батареи), так не работало, пока DROP-пакеты из учитываемого траффика не выбросил! Гады..
9) анализировал информацию и по приведённой ссылке. Сходств симптомов не обнаружил - см. выше..

Карлуш Душ Сантуш
Member

Сообщений: 62
Регистрация: Ноябрь 2005

написано 16 Сентября 2006 08:19ИнфоПравкаОтветитьIP

Та ж фигня. Проявляется только на Мегафоне. И ещё всякие порты 135, 137, 138, 139, 4899, 9009 атакуют. Чего они хотят? Денег моих кровных?

Mixa1024
Moderator

Сообщений: 3038
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 16 Сентября 2006 15:45ИнфоПравкаОтветитьIP

Карлуш Душ Сантуш
4899
Remote Admin, однако

deskpot
unregistered
написано 19 Мая 2007 01:38  ПравкаОтветитьIP

Карлуш Душ Сантуш:

dub% grep 135/ /etc/services
loc-srv 135/tcp epmap # Location Service
loc-srv 135/udp epmap
dub% grep 137/ /etc/services
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
dub% grep 138/ /etc/services
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
dub% grep 139/ /etc/services
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp

судя по всему, просто какой-то малолетний кулхацкер сканирует Интернет на предмет открытых SMB/CIFS-шар.

вменяемые провайдеры эти порты должны блокировать, через Интернет вменяемые люди на них всё равно не ходят (а используют VPC)

moderator-bf: Подкорректировал codepage для кириллицы

[Это сообщение изменил moderator-bf (изменение 20 Мая 2007 11:26).]

bf
Member

Сообщений: 596
Откуда: RU
Регистрация: Август 2006

написано 20 Мая 2007 11:32ИнфоПравкаОтветитьIP

deskpot
судя по всему, просто какой-то малолетний кулхацкер сканирует Интернет на предмет открытых SMB/CIFS-шар
Да вряд ли просто какой-то кулхацкер - в наши дни дополна msblast`- и lovsan`ообразных червей, которые таким образом ищут возможность размножения.
вменяемые провайдеры эти порты должны блокировать, через Интернет вменяемые люди на них всё равно не ходят (а используют VPC)
Да Бог с ним, пусть и не блокируют - для внешнего IP (кстати, клиентский IP - приватный ), суть в другом: Source = не используемый для выхода абонентов внешний IP провайдера! Выводы = ?

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика