LINUX.ORG.RU
ФорумAdmin

непонятный трафик


0

0

[root@host root]# tcpdump -i eth0
tcpdump: listening on eth0
16:11:05.138667 192.168.1.2.ssh > 192.168.1.251.1994: P 3775250128:3775250172(44) ack 1077700931 win 6432 (DF) [tos 0x10]
16:11:05.138667 192.168.1.251.1994 > 192.168.1.2.ssh: . ack 44 win 17520 (DF)
16:11:05.148667 192.168.3.2.1027 > 160.248.248.185.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.168667 192.168.3.2.1026 > 56.194.214.35.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.178667 192.168.3.2.1025 > 64-215-31-152.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.178667 192.168.3.2.1028 > cpe.atm2-0-1061122.0x50a3809a.albnxx15.customer.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.198667 192.168.3.2.1027 > 160.248.248.186.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.218667 192.168.3.2.1026 > 56.194.214.36.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.228667 192.168.3.2.1025 > 64-215-31-153.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.228667 192.168.3.2.1028 > 0x50a3809b.unknown.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.248667 192.168.3.2.1027 > 160.248.248.187.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.268667 192.168.3.2.1026 > 56.194.214.37.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.278667 192.168.3.2.1025 > 64-215-31-154.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.278667 192.168.3.2.1028 > 0x50a3809c.unknown.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.298667 192.168.3.2.1027 > 160.248.248.188.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.308667 192.168.1.2.squid > 192.168.1.27.3273: P 3551260872:3551260916(44) ack 2728640482 win 6432 (DF)
16:11:05.318667 192.168.3.2.1026 > 56.194.214.38.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.328667 192.168.3.2.1025 > 64-215-31-155.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.328667 192.168.3.2.1028 > atm2-0-1061108.albnxx15.ip.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.348667 192.168.3.2.1027 > 160.248.248.189.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.368667 192.168.3.2.1026 > 56.194.214.39.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.378667 192.168.3.2.1025 > 64-215-31-156.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.378667 192.168.3.2.1028 > cpe.atm2-0-1061108.0x50a3809e.albnxx15.customer.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.398667 192.168.3.2.1027 > 160.248.248.190.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.418667 192.168.1.27.3273 > 192.168.1.2.squid: . ack 44 win 64196 (DF)
16:11:05.418667 192.168.3.2.1026 > 56.194.214.40.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.428667 192.168.3.2.1025 > 64-215-31-157.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.428667 192.168.3.2.1028 > 0x50a3809f.unknown.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.448667 192.168.3.2.1027 > 160.248.248.191.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.468667 192.168.3.2.1026 > 56.194.214.41.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.478667 192.168.3.2.1025 > 64-215-31-158.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.478667 192.168.3.1 > 192.168.3.2: icmp: 64-215-31-158.nrp2.mon.ny.frontiernet.net udp port netbios-ns unreachable [tos 0xc0]
16:11:05.478667 192.168.3.2.1028 > 0x50a380a0.unknown.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.498667 192.168.3.2.1027 > 160.248.248.192.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.528667 192.168.3.2.1025 > 64-215-31-159.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.528667 192.168.3.2.1028 > atm2-0-1051167.naenxx2.ip.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.548667 192.168.3.2.1027 > 160.248.248.193.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.568667 192.168.3.2.1026 > 56.194.214.43.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.578667 192.168.3.2.1025 > 64-215-31-160.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.578667 192.168.3.2.1028 > cpe.atm2-0-1051167.0x50a380a2.naenxx2.customer.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.598667 192.168.3.2.1027 > 160.248.248.194.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.618667 192.168.3.2.1026 > 56.194.214.44.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.628667 192.168.3.2.1025 > 64-215-31-161.nrp2.mon.ny.frontiernet.net.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:11:05.628667 192.168.3.2.1028 > 0x50a380a3.unknown.tele.dk.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Здесь фрагмент работы tcpdump. Подскажите, что за трафик валит с машины 192.168.3.2 в локальной сети по udp/137?

ну, вообще-то порты 137-139 относятся к протоколу SMB, то есть по нему связываются Windows-машины друг с другом (Сетевое окружение). Конкретный фрагмент, я так понимаю, относится к бродкастам сети "есть здесь кто, и может кто мне даст список компов". Если у тебя на unix нет Samba, и тебе не надо редиректить через unix виндовый трафик, то можешь задавить правилами файреволла...

tutu
()
Ответ на: комментарий от tutu

Сервер - internet-шлюз на базе rh 7.3, samba там нет. Клиент 192.168.3.2 - рабочая станция под win98. Что это пакеты netbios мне известно, меня смущает обилие этих пакетов. НЕ МОЖЕТ ЛИ ЭТО БЫТЬ РЕЗУЛЬТАТОМ ДЕЯТЕЛЬНОСТИ КАКОГО-НИБУДЬ W32-ЧЕРВЯ? Этот клиент накрутил больше 2 Gb internet-трафика за прошлый месяц, после чего я и заёрзал на стуле. Сканирование этой раб. станции антивирусником avp пока не дало результатов, но я им не доверяю: с других раб. станций под win98 таких пакетов и в таком количестве не прёт.

josephson ★★
() автор топика
Ответ на: комментарий от josephson

PS: Файрволом я это дело теперь конечно придавлю, но надо будет давать начальству какое-то разумное объяснение.

josephson ★★
() автор топика
Ответ на: комментарий от josephson

Изъял hdd из подозрительной раб. станции, подключил к другой, как 2-й диск, загрузился с неё (с родного диска 2-й машины в обычном порядке), просканировании hdd 1-й машины всё тем же avp но с обновлёнными базами. Обнаружены такиие бяки:
W32.Opaserv Worm
W32.Randex.F
Возможно, тот трафик - работа одного из них.

josephson ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin