LINUX.ORG.RU
ФорумAdmin

Нужна помощь утечка трафика!

 ,


0

5

Нужна помощь специалистов.

Имеется лимитированный 3g internet и больше никакого! Раздаётся ч/з точку доступа с андроид телефона. Сливается трафик из линукса. Переустановил линукс на всякий. Поставил kali-linux. Браузер iceweasel. С расширениями: адблок, носкрипт, имажблок, useragent transliterator и firebug. В браузере было открыто 3 страницы без картинок: dumpz.ru google.com и этот сайт. Флеш не установлен. За пару часов отсутствия утекло более 200метров трафика.

Запустил wireshark на 10 минут, чтоб узнать. Почти всё время трафик не утекал, шли пакеты на гугл: application data, Change cipher spec, Sertificates Continuation data По протоколу TCP и TLSv1.2

Затем ч/з 10 минут потек трафик и я сразу обрубил, там пошло 2,5 метров за какие-то секунды.

Привлекло внимание в wiresharke (я не всё по нимаю, правда) , протокол HTTP get /?fis=menuajx&_=1447095866883 HTTP/1.1. сервер 93.95.102.225. Проверил его по конверсии цифр в имя, нет у него названия, те же цифры, затем проверил по whois, в описании значится mtw.ru, vadim fropov, 2a schelkovskoe sh., moscow.

Это он ворует трафик? Или что, где копать? Куда утечка и через что?

Утечка метана в 6 палате

Это он ворует трафик? Или что, где копать? Куда утечка и через что?

Не поддавайтесь на провокации и сохраняйте спокойствие до прибытия бригадира команды телепатов.

edigaryev ★★★★★ ()

сервер 93.95.102.225

У него Apache/1.3.27 Server at turbo.mtw.ru Port 80. Не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Сразу хочу предостеречь пытливых - стоп. Остальные просто не найдут.

orm-i-auga ★★★★★ ()
Ответ на: комментарий от anTaRes

Я серьёзно спрашиваю, трафик лимит, а хочется пользоваться компом, а не только телефоном.

В netstat понимаю меньше, чем в wireshark.

A apache и что? Почему туда есть передача по http?

explorer ()

Ох уж эти дол^Wпользователи KaliLinux

А по каким сайтам ты гуляешь своим iceweasel, когда случается «утечка»?

Stil ★★★★★ ()
Ответ на: комментарий от explorer

В netstat понимаю меньше, чем в wireshark.

А в wireshark ты понимаешь больше?)

A apache и что? Почему туда есть передача по http?

A apache это веб сервер. Угадай чем занимается веб сервер.

Stil ★★★★★ ()

vadim fropov, 2a schelkovskoe sh., moscow.

Оцени свой ущерб и в милицию заявление пиши. Этот Вадим если хочет развлекаться всякими аяксами - пусть сам ими и развлекается на локалхосту, а окружающие не должны страдать от его оголтелых выходок в нашем с вами интернете!

anonymous ()
Ответ на: комментарий от Stil

Угадай чем занимается веб сервер.

В данном случае этот веб-сервер наносит ущерб топик-стартеру. Правильно посоветовали выше - пусть компетентные органы разбираются с этим хулиганом. Им за это зарплату, между прочим, из налогов платят.

anonymous ()
Ответ на: комментарий от anonymous

Да, блин перечислены 3сайта которые были открыты: гугл, dumpz.ru и lunux.org.ru. Kali поставил, снеся sl, греша на него за утечку трафика.

Неужели никто не может по-человечески ответить. Или если спрашивающий далёк отсетевого мониторинга, то и ответа не достоин, только затравливать- идеалогия русского опенсурс?

Wireshark интуитивно понятен мне, есть статистика, фильтр по протоколу, адреса, счётчик пакетов.

Да, мне непонятно, почему , когда закрыто большинство скриптов и браузер НЕ ИСПОЛЬЗУЕТСЯ, просто открыты 3 страницы, вдруг в какой-то момент начинает утекать трафик галопом и появляется тот загадочный сервер.

Ну нет у меня возможности юзать нормальный интернет, а комп в ПРОСТОЕ сжигает трафика больше, чем сотни открытых страниц в operamobile на телефоне.

explorer ()
Ответ на: комментарий от explorer

Неужели никто не может по-человечески ответить.

Да. Пока не напряжешься по-человечески спросить. Я бы стартанул iceweasel без расширений и посмотрел, повторяется ли ситуация. Если трафик очень жалко — применил бы др этого wondershaper. Больше по твоим выкрикам ничего не понять.

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 1)

так надо tails, а не kali ставить, чтобы утечек не было

ii343hbka ★★★ ()
Ответ на: комментарий от explorer

Неужели никто не может по-человечески ответить.

wireshark включил, что-то там посмотрел, ничего не увидел и нам не показал. Что можно ответить? Вот действительно «Пока не напряжешься по-человечески спросить».

Попробуй вообще не включать браузер, может это дистр обновления качает или ещё что-то в этом роде.

Запиши через wireshark момент резкого повышения потребления трафика, экспортни в файл, скинуть куда-нибудь чтобы люди могли посмотреть. Правда посмотри чтобы там не было чувствительных данных (логинов, паролей и прочего).

vladimir-vg ★★ ()
Последнее исправление: vladimir-vg (всего исправлений: 1)

Раздаётся ч/з точку доступа с андроид телефона

И тебя смущает трафик в сторону Гугла?

anonymous ()

Переустановил линукс на всякий.

Ещё раз переустанови, чтобы наверняка.

prischeyadro ★★★☆☆ ()
Последнее исправление: prischeyadro (всего исправлений: 1)

Проверил его по конверсии цифр в имя, нет у него названия

Плохо проверял, есть название. Например:

:~$ host 4-kolesa.ru
4-kolesa.ru has address 93.95.102.225
4-kolesa.ru mail is handled by 10 pochta.mtw.ru.
:~$
:~$ host love.vipdama.ru
love.vipdama.ru has address 93.95.102.225
:~$

Куда утечка и через что?

Например, через «точку доступа с андроид телефона». Ты уверен, что телефон за твоё отсутствие ничего не скачивал из сети?

shrub ★★★★★ ()
Последнее исправление: shrub (всего исправлений: 1)
Ответ на: комментарий от explorer

Вообще правильное решение закрыть фаерволом вообще 0.0.0.0, открыть только dns, потом открывать ТОЛЬКО необходимые серверы. Это проверенный способ.

one117 ★★★★★ ()
Ответ на: комментарий от one117

Нет, DNS открывать не надо, только /etc/hosts, только хардкор!

tiandrey ★★★★★ ()
Ответ на: комментарий от shrub

Ты уверен, что телефон за твоё отсутствие ничего не скачивал из сети?

А с какого перепугу wireshark бы тогда ловил данные на компе?

Valkeru ★★★★ ()
Ответ на: комментарий от Valkeru

Ты про это?

протокол HTTP get /?fis=menuajx&_=1447095866883 HTTP/1.1. сервер 93.95.102.225

Ну это, судя по всему, вебдванольная автообновлялка содержимого страницы. Либо рекламу крутят, не суть важно.

Я про телефон упомянул в контексте вот этой фразы:

За пару часов отсутствия утекло более 200метров трафика.

Хотя, сейчас 200 метров за два часа рекламой набить не сложно, ЕМНИП адблок же её просто не показывает, но скачивает.

shrub ★★★★★ ()
Ответ на: комментарий от shrub

Хотя, сейчас 200 метров за два часа рекламой набить не сложно, ЕМНИП адблок же её просто не показывает, но скачивает

В Хроме — да, в Фоксе вроде-бы именно блокирует скачивание.

MrClon ★★★★★ ()
Ответ на: комментарий от shrub

Я про телефон упомянул в контексте вот этой фразы:

За пару часов отсутствия утекло более 200метров трафика.

Судя по комменту ТС

хочется пользоваться компом, а не только телефоном

Такая хрень с самого телефона не наблюдается

Valkeru ★★★★ ()
Ответ на: комментарий от explorer

netstat -np выдаст и ip и процесс. Сопоставляешь IP с тем который у тебя трафик кушал видиш название процесса который кушал - профит.

anc ★★★★★ ()
Ответ на: комментарий от anc

В общем пожертвовал трафика, последил netstat -np в компании с wireshark. Я так понимаю нормальных считалок трафика с адресами, хотя бы уровня netlimiter для линукса не существует. Весь трафик шёл исключительно ч/з iceweasel. В нём поставил в этот раз adblock, elemen t hiding helper for adblock, noscript, block image. Флеш в системе отсутствует. Когда открыта одна страница без рисунков (заблокированы) - только текст, соединение идёт сразу на 6 серверов и трафик утекает.

Поставил virtualbox, на него Винду хр с фаерволом +firefox. Дал доступ в интернет только этому фаерфоксу с теми же слугами (закрытие рекламы, рисунков и скриптов), утечка трафика идентична нативному iceweasel. У хрома ещё больше. Те же самые страницы открываю в opera mobile на андроид телефоне, даже не 1 страницу, как в линуксе, а под 30 страниц всегда открыто - никуда трафик не уходить загружается страница-есть немного, загружена - браузер ничего не жрет.

В общем не знаю, что делать, откуда стационарные браузеры столько жрут только по факту иметь открытую страницу, я не знаю.

К ответу на вопрос почему kali, потому что изначально думал, что сама система sl7.1 жрет трафик и снёс его. Из известных мне только минут и кали имеют максимум всего из коробки - т.е. минимум дотягивать из нета по 3ж. Но в кали есть проблема, как оказалось. Есть два компа, один старенький, на обоих кали. Устанавливаются пакеты на одном, переношу в локал репу или dpkg, если 1-2 пакета на другой комп, чтоб не качать заново. Все шло великолепно до libreoffice, который (apt-get install с локалрепы) сказал:

Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required packages have not yet been created or been moved out of Incoming.

Через dpkg -*deb всех офисных и библиотек ставит, но не работает - ошибка конфигурирования при том, что все пакеты и библиотеки на месте - ни один не забыт при переносе. Это особенность кали или линукса вообще? Почему тогда ставится из интернета. Дополнительные 100 метров тянуть для клона на 2-й комп?

Короче с трафиком проблема, похоже браузеры что-то постоянно подгружают, причём немеряно. Как с этим бороться?

explorer ()
Ответ на: комментарий от explorer

Даже интересно стало, а что за сайт?

anc ★★★★★ ()
Ответ на: комментарий от explorer

Без дополнений пробовал браузеры? Может какое дополнение траффик гоняет?

false ★★★★★ ()
Ответ на: комментарий от explorer

Дак у тебя там поди Safe Browsing включен и ещё всякие отчёты о работоспособности. Вот Firefox и извергает трафик.

th3m3 ★★★★★ ()
Ответ на: комментарий от th3m3

Safe browsing никакой не нашёл. В iceweasel была включена hardware accele ration, вырубил, в firefox на виртуалбоксе -не была.

Страницы разные. Больше всех в метрах жрет ничего не делая и без рисунков ! planeta.moy.su.

Ещё одна бяка. Если открыть сохраненные страницы идёт соединение на google, google-analitics и социальные сети. Я так понимаю коды на странице? Зачем браузеры херней страдают? В этой теме вижу, как решение, выделение отдельного броузера для просмотра сохраненного без доступа в сеть. Нужны настройки iptables для блокировки по процессу, а не по протоколу. Не понимаю как? Похоже, в этой теме линукс далеко позади форточек.

Проблемаис подкачкой трафика при включенных браузерах остаётся открытой - серф только на телефоне - неудобно, на компе - не хватит трафика.

explorer ()

Переустановил линукс на всякий.

Эпично.

Тилипоны на роботе умеют сами по себе что-то куда-то слать и скачивать. Проверял? Какой софт стоит на нем? Дроидвалл стоит с нужными разрешениями и запретами?

Zhbert ★★★★★ ()
Ответ на: комментарий от explorer

Если открыть сохраненные страницы идёт соединение на google, google-analitics и социальные сети. Я так понимаю коды на странице?

Да, дебильные соцкнопки, котоырые сейчас везде понатырканы.

А браузер у тебя обновления свои не проверяет, случаем?
Попробуй на всякий случай изучить код страничек - возможно, где-то там собака порылась, и они постоянно что-то обновляют, рекламу, например, или еще какую хрень.

Zhbert ★★★★★ ()
Ответ на: комментарий от explorer

-=:=-

Ололо. Открыл в хромчеге planeta.moy.su и засейвил в папку на диске. хех. это бич..это Дичь! Там гифки и рисунки только 3.4 метра жрут. Жоба-скрыпдов на много-много кб. Не мудрено что трафф жрет. Ахаха. там на глагне лист ньюсов, в ньюс-превью фодка. Угадайте - какая. Правильный Ресайз? хрен там. пример - 1366х768. Дизигнера расстрелять. и жлоба-девелопера, ни осилившего какой-нить йоба-скрирт на ресайс при добавлении ньюсы тоже в костер.

KosmiK ()
Последнее исправление: KosmiK (всего исправлений: 1)
Ответ на: комментарий от explorer

Это всё js-скрипты на странице. Если ты сохраняешь страницу локально, они никуда не деваются и продолжают работать локально. Там всякие яндекс метрики, гугл аналитиксы и прочее ненужно. Многие любят по +100500 этой аналитики накатить, рекламные скрипты, которые кроме рекламы, так же анализируют и палят личные данные.

Чтобы заблочить всю эту ересь - нужно использовать связку плагинов. Можно собрать свою сборку, тестировать разные. Например так: NoScript + Ghostery + uBlock + ReguestPolicy. Можно добавить ещё Statutory - он закроет возможность спалить реальный IP через WebRTC, если не дать разрешение сайту. И ещё uMatrix.

Каждый плагин нужно будет настроить под свои нужды. У некоторых может быть похожий функционал, но здесь фишка в том, если пробьют один плагин, другой может не пропустить.

th3m3 ★★★★★ ()
Ответ на: комментарий от th3m3

В общем установил оперу 12 deb, новее для 64 бит к сожалению не нашёл. Утечки прекратились, даже когда включены скрипты и просто открыты страницы, трафик не жрется. Та самая тяжёлая страница открытая без картинок - минимум, какие-то килобайты, а когда уже открыта - трафик ноль.

Почему в опенсурс никто не может написать нормальный браузер, который бы не жрал трафик хотя бы когда страница уже открыта!

explorer ()
Ответ на: комментарий от explorer

Дело в том, что Opera 12 - это мега старьё. Она не поддерживает многие современные возможности и технологии. Скорее всего вебсокеты она не умеет, а трафик наверное через вебсокеты идёт. С одной стороны кажется, что это хорошо. Но это не так.

th3m3 ★★★★★ ()

Поставьте себе прокси-сервер (squid), надеюсь, комп потянет и скивд и браузер. И будет у вас лог. На всякий случай можно будет в iptables разрешить выход в интернет только пользователю squid. И потом можно будет спокойно в squid запрещать/разрешать сайты, причём независимо от используемого браузера.

mky ★★★★★ ()
Ответ на: комментарий от th3m3

Да не такой уж он и жирный, вполне может работать на машине с 1 Гб ОЗУ. Зато squid даёт лог и можно спокойно изучать откуда скачивается трафик, причём не в виде ip-адреса, а по url.

mky ★★★★★ ()
Ответ на: комментарий от mky

Да не такой уж он и жирный, вполне может работать на машине с 1 Гб ОЗУ

Согласен, для персонального использования вполне себе подходит. В случае мобильного трафика я даже попробовал бы посмотреть на статистику кэша.
Но проблему ТС не решит. Смотреть на то, за что уже заплатил, может и приколько... но не интересно. На все эти левые «трафики» не наберешься правил, сегодня они одни завтра другие и вот ты только расслабился, а тут тебя (ну ты понял).

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от cuss

Вот под таким соусом planeta.moy.su сожрала 1 метр. юматрикс явно отсёк 13 доменов и с десяток скриптов с разных сайтов.

cuss ()

А вообще-то попахивает заказухой рекламы сайта. Поучил уже свои 11.80, а, explorer?

cuss ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.