Подозрение на DDOS

0

1

Заметил об аномальной активности(тысячи сессий в секунду) от одного узла(компы там за натом, их менее 50) .

Так вот все они ходят на разные ипы(не более 9 флоу на ип) на порту 500 и по UDP + среднее количество байтов в пакете 472 и скорость бит тоже очень малое.

Предполагаю что :

1) Эти компы заражены и производят DDOS?

2) Это торренты?( у нас проходят только encrypted )

←	подскажите с dpkg

ZTE MF192

→

СКАЖИ СВОЕМУ КОМПЬЮТЕРУ, ЧТОБЫ ЗАПЕР ДВЕРЬ

любительская автоматизация; устройство с открытой прошивкой
исходные тексты всех программ, открытые библиотеки
http://www.unicontrollers.com/products/unc01x

[#]

что в пакетах?

dreamer

(26.01.2012 19:39:21)

Ответить на это сообщение

[#]

ещё вариант - там винда с вируснёй\троянами. Похожая картина была, на тачках послись win32.expiro(букву не помню)

Lwulf (26.01.2012 21:12:13)

Ответить на это сообщение

[#] Ответ на: комментарий от Lwulf 26.01.2012 21:12:13

только в моём случаем можно было выделить 25 одинаковых адресов, к коим и был заблокирован доступ.

П.с. сообщение прочитал, да заражены :) Голова думает, а руки уже всё написали и отправили.

Lwulf (26.01.2012 21:15:25)

Ответить на это сообщение

[#]

>>-----Цитата---->>

Так вот все они ходят на разные ипы(не более 9 флоу на ип) на порту 500 и по UDP +

<<-----Цитата----<<

/etc/services подсказывает, что обычно это isakmp (есть в вики), не разбираюсь, но м.б. это фича или керберос какой-нибудь криво настроен?

>>-----Цитата---->>

2) Это торренты?( у нас проходят только encrypted )

<<-----Цитата----<<

на один порт и все... это вряд ли

anonymous (27.01.2012 0:14:18)

Ответить на это сообщение

[#] Ответ на: комментарий от dreamer 26.01.2012 19:39:21

Я только с netflow вижу . Сниф немного много будет забирать( гигабиты каптить немного тяжковато ). К узлу скорее всего мне придеться самому поехать разобраться(младший стафф туповат и грубит (: )

pinachet

(27.01.2012 0:38:28)