что за соединения с рутером по udp

0

1

собственно нашел альтернативу nethogs на расте - bandwidth. В отличии от nethogs показывает огромное колличество соединений по udp с рутером с 514 на разные порты. Внизу только малая часть того, что происходит в реалтайм. Lsof и ss ничего не показывают. Что это за соединения?

│<enp3s0>:514 => _gateway.:59323 (udp)                                  <UNKNOWN>              0Bps / 35Bps                     │
│<enp3s0>:514 => _gateway.:59329 (udp)                                  <UNKNOWN>              0Bps / 34Bps                    │                
│<enp3s0>:514 => _gateway.:59333 (udp)                                  <UNKNOWN>              0Bps / 34Bps                     │
│<enp3s0>:514 => _gateway.:59322 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │
│<enp3s0>:514 => _gateway.:59332 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │
│<enp3s0>:514 => _gateway.:59325 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │
│<enp3s0>:514 => _gateway.:59328 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │
│<enp3s0>:514 => _gateway.:59336 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │
│<enp3s0>:514 => _gateway.:59319 (udp)                                  <UNKNOWN>              0Bps / 28Bps                     │
│<enp3s0>:514 => _gateway.:59338 (udp)                                  <UNKNOWN>              0Bps / 28Bps                     │
│<enp3s0>:514 => _gateway.:59317 (udp)                                  <UNKNOWN>              0Bps / 28Bps                     │
│<enp3s0>:514 => _gateway.:59318 (udp)                                  <UNKNOWN>              0Bps / 28Bps                     │
│<enp3s0>:514 => _gateway.:59335 (udp)                                  <UNKNOWN>              0Bps / 28Bps                     │
│<enp3s0>:514 => _gateway.:59330 (udp)                                  <UNKNOWN>              0Bps / 27Bps                     │
│<enp3s0>:514 => _gateway.:59331 (udp)                                  <UNKNOWN>              0Bps / 27Bps                     │
│<enp3s0>:514 => _gateway.:59320 (udp)                                  <UNKNOWN>              0Bps / 27Bps                     │
│<enp3s0>:514 => _gateway.:59326 (udp)                                  <UNKNOWN>              0Bps / 27Bps                     │
│<enp3s0>:514 => _gateway.:59321 (udp)

Ссылка

←	Стрим с веб-камеры на сервер

Способы отслеживания изменений директории рекурсивно

→

рутер

Маршрутиза́тор (проф. жарг. ро́утер, часто ошибочно ра́утер, ру́тер, от англ. router /ˈɹu:tə(ɹ)/ или /ˈɹaʊtəɹ/[1], /ˈɹaʊtɚ/) — специализированное устройство, которое пересылает пакеты между различными сегментами сети на основе правил и таблиц маршрутизации.

vvn_black ★★★★★
(11.04.21 17:46:32 MSK)

На сервере работает dns сервер? Смотри его логи, что за запросы приходят, и откуда. На роутере порт 514 прокинут на сервер?

skyman ★★★
(11.04.21 17:52:29 MSK)

Ответ на: комментарий от vvn_black 11.04.21 17:46:32 MSK

меня интересует только у всех так же? Просто я раньше такого не видел.

eco_dd
(11.04.21 17:52:36 MSK) автор топика

Ссылка

Ответ на: комментарий от skyman 11.04.21 17:52:29 MSK

в логах рутера ничего кроме сканирования портов. Dns на рутере остутствует, forwarding я тоже пока не использую

eco_dd
(11.04.21 17:55:09 MSK) автор топика

Ответ на: комментарий от vvn_black 11.04.21 17:46:32 MSK

Маршрутиза́тор (проф. жарг. ро́утер, часто ошибочно ра́утер, ру́тер, от англ. router /ˈɹu:tə(ɹ)/ или /ˈɹaʊtəɹ/[1], /ˈɹaʊtɚ/) — специализированное устройство, которое пересылает пакеты между различными сегментами сети на основе правил и таблиц маршрутизации.

Молодец, неси зачетку, терминологию осилил! И готовься к реальной жизни, где люди не могут и не обязаны общаться исключительно академическими терминами.

skyman ★★★
(11.04.21 17:55:50 MSK)

Ответ на: комментарий от eco_dd 11.04.21 17:55:09 MSK

https://ru.wikipedia.org/wiki/Syslog

vvn_black ★★★★★
(11.04.21 17:57:56 MSK)

Ссылка

Ответ на: комментарий от skyman 11.04.21 17:55:50 MSK

С тебя ещё зачёт по дисциплине «Гуглёж».

vvn_black ★★★★★
(11.04.21 17:58:22 MSK)

Ответ на: комментарий от vvn_black 11.04.21 17:58:22 MSK

Так очевидно же, что идут системные сообщения, но почему на огромное колличество разных портов? Зачем опрашивается столько портов. Выглядит как скан

eco_dd
(11.04.21 18:02:51 MSK) автор топика

Ссылка

Пардон, перепутал syslog и dns. Мои предыдущие сообщения можно игнорировать :(

Смотри что за устройства шлют логи. Можно tcpdump использовать, он может показать адрес источника и само сообщение syslog.

skyman ★★★
(11.04.21 18:07:23 MSK)

Ответ на: комментарий от vvn_black 11.04.21 17:46:32 MSK

Интересно, что ты хотел этим сказать? Ведь рутер - наиболее правильная адаптация слова router на русский язык.

aquadon ★★★★★
(11.04.21 18:10:04 MSK)

Ответ на: комментарий от aquadon 11.04.21 18:10:04 MSK

Ведь рутер - наиболее правильная адаптация слова router на русский язык

Кто сказал? router даже произносится как что-то среднее между раутер и роутер, но никак не рутер.

И есть общепринятая жаргонная адаптация - роутер.

vvn_black ★★★★★
(11.04.21 18:13:23 MSK)

Ответ на: комментарий от skyman 11.04.21 18:07:23 MSK

меня интересует только у всех так или нет? Может кто запустить его на своей системе?

eco_dd
(11.04.21 18:15:06 MSK) автор топика

Ссылка

Ответ на: комментарий от vvn_black 11.04.21 18:13:23 MSK

router даже произносится как что-то среднее между раутер и роутер, но никак не рутер.

Допускаю, что это зависит от местности. Из того, что я слышал - это скорее рутер. Так что, если уж придираться, то «маршрутизатор». А к адаптации придираться бессмысленно.

https://dictionary.cambridge.org/dictionary/english/router

aquadon ★★★★★
(11.04.21 18:53:41 MSK)
Последнее исправление: aquadon 11.04.21 18:57:35 MSK (всего исправлений: 1)

Ссылка

Что это за соединения?

Это не соединения. UDP (syslog) послал пакет и забыл. То что ты видишь можно воспринимать как историю (лог)

futurama ★★★★★
(11.04.21 19:10:33 MSK)

Ответ на: комментарий от futurama 11.04.21 19:10:33 MSK

как бы то ни было эти правила iptables практически полностью остановили поток соединений https://unix.stackexchange.com/questions/345114/how-to-protect-against-port-scanners Я полагался на встроеный файер на рутере, но похоже он дырявое корыто

eco_dd
(11.04.21 19:15:22 MSK) автор топика

Ответ на: комментарий от eco_dd 11.04.21 19:15:22 MSK

надо еще сказать субъективно отзывчивость страниц и соединений в терминале стали гораздо выше. Видать урод который сканировал порты сильно забивал мне канал

eco_dd
(11.04.21 19:46:56 MSK) автор топика

Ссылка

Ответ на: комментарий от vvn_black 11.04.21 18:13:23 MSK

общепринятая жаргонная

O_o

Есть еще другие слова с тем же корнем, например «маршрут». И другие языки, кроме английского.

Куча маршрутов по udp означает чаще всего именно скан, но иногда и i2p, который пытается проломиться через два ната.

anonymous
(12.04.21 07:28:05 MSK)

udp «соединения» висеть не могут, кмк - потому что там нет «соединения», там есть принятый пакет.

enp3s0 это видимо твой локальный интерфейс?
Т.е. ты сканируешь свой роутер? Занятно.

slowpony ★★★★★
(12.04.21 07:33:12 MSK)

рУтер. от создателей микрОтика и линУкса.

v0mqfish ★★★
(12.04.21 07:35:44 MSK)

Ответ на: комментарий от v0mqfish 12.04.21 07:35:44 MSK

Ага, а план (не тот который курят) называют теперь дорожная карта. Иногда очень забавно звучит, так что без галоперидолу точно не разберёшься :)

anonymous
(12.04.21 07:46:58 MSK)

Ссылка

Ответ на: комментарий от anonymous 12.04.21 07:28:05 MSK

Есть еще другие слова с тем же корнем, например «маршрут».

Ага, это заимствование из немецкого.

И другие языки, кроме английского.

Да, но router имеет английское происхождение, а роутер, как и например, ксерокс - это профессиональный жаргонизм. Независимо от того как правильно, я рутер в понимании маршрутизатора встречаю только здесь и то очень редко.

vvn_black ★★★★★
(12.04.21 07:49:10 MSK)

Ответ на: комментарий от vvn_black 12.04.21 07:49:10 MSK

рутер

Это новый синоним судоерса?

deep-purple ★★★★★
(12.04.21 07:52:00 MSK)

Ответ на: комментарий от deep-purple 12.04.21 07:52:00 MSK

Да, первое что приходит из аналогий - такой залогиненный суперпользователь, рутер или рутерка.

vvn_black ★★★★★
(12.04.21 07:56:59 MSK)

Ссылка

Ответ на: комментарий от slowpony 12.04.21 07:33:12 MSK

Т.е. ты сканируешь свой роутер? Занятно. я ничего не сканирую. Я дистрибутивы несколько раз менял и с малины в локалке тоже был виден скан. Раз такой умный как можешь объяснить этот дикий трафик?

eco_dd
(12.04.21 09:27:41 MSK) автор топика

что действительно смешно, то что никто из тут «линуксоидов» так и не попробовал запустить этот bandwidth, хотя дело 2 мин. Видать линукс был все это время недосягаем )

eco_dd
(12.04.21 10:08:51 MSK) автор топика

Ответ на: комментарий от eco_dd 12.04.21 10:08:51 MSK

Ну вот я, например, попробовал:

:~$ bandwidth

Команда «bandwidth» не найдена. Возможно, вы имели в виду:

блаблабла

Никакого дикого трафика не вижу. Думаю, проблема в том, что тебе следовало более подробно указать, откуда ты это взял и с какими параметрами запускал.

apt_install_lrzsz ★★★
(12.04.21 11:26:03 MSK)

Ответ на: комментарий от eco_dd 12.04.21 09:27:41 MSK

А ты возьми и посмотри, я откуда знаю что у тебя там за трафик

tcpdump -i enp3s0 src port 514 and dst _gateway

slowpony ★★★★★
(12.04.21 11:53:17 MSK)

Ответ на: комментарий от apt_install_lrzsz 12.04.21 11:26:03 MSK

сразу в игнор

eco_dd
(12.04.21 11:59:46 MSK) автор топика

Ссылка

Ответ на: комментарий от slowpony 12.04.21 11:53:17 MSK

так я сразу tcpdump и запустил чтобы глянуть что трафик идет, потому что 514 и выдает системные сообщения. Там куча сообщений от встроенного файера моего рутера.

$ sudo tcpdump -nnSX port 514

IP 192.168.1.1.50788 > 192.168.1.4.514: SYSLOG local0.critical, length: 138
.....
>Apr.11.18:02:36
....
192.168.1.4.-->.192.168.1.1.DENY:.Firewall.interface.access.request.
....

иначе с чего бы я решил что это скан? Но совет был дельный и единственным по делу

eco_dd
(12.04.21 12:24:48 MSK) автор топика

Ответ на: комментарий от eco_dd 12.04.21 12:24:48 MSK

Так, а исходящих с -i enp3s0 src port 514 не видно, при этом ты все равно видишь, что такие пакетики прилетают на роутер?

slowpony ★★★★★
(12.04.21 12:33:31 MSK)

Ответ на: комментарий от slowpony 12.04.21 12:33:31 MSK

нет никаких исходящих с моей карты и быть не может. Это сообщения файера c моего routera о блокировке запросов внешнего сканера. Почему я их могу видеть у себя для меня загадка. В настройках ничего не нашел

eco_dd
(12.04.21 12:55:36 MSK) автор топика

Ответ на: комментарий от eco_dd 12.04.21 12:55:36 MSK

Так, подожди.

│<enp3s0>:514 => _gateway.:59333 (udp)                                  <UNKNOWN>              0Bps / 34Bps                     │
│<enp3s0>:514 => _gateway.:59322 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │
│<enp3s0>:514 => _gateway.:59332 (udp)                                  <UNKNOWN>              0Bps / 29Bps                     │

Вот эта вот простынка снята на роутере? enp3s0 это сетевой интерфейс на роутере? А кто тогда _gateway, какая-то внешняя машина?

slowpony ★★★★★
(12.04.21 14:31:11 MSK)

Ответ на: комментарий от slowpony 12.04.21 14:31:11 MSK

нет, это лог с самого роутера. enp3s0 это интерфейс карты моей машины, а что за _gateway интерфейс самого роутера. Почему стрелка показывает такое направление траффика для меня загадка

eco_dd
(13.04.21 12:03:08 MSK) автор топика

Ответ на: комментарий от eco_dd 13.04.21 12:03:08 MSK

Да, и почему внешний сервис подделывает твой внутренний адрес и откуда-то знает имя твоего интерфейса. Это все неспроста.

slowpony ★★★★★
(13.04.21 18:16:50 MSK)

Ссылка

Ответ на: комментарий от eco_dd 12.04.21 12:55:36 MSK

А почему не может? Вот, смотри, очередной зиродей опуликовали

https://www.securitymagazine.com/articles/94838-google-fixes-chrome-zeroday-bug

Берем, проворачиваем дырочку на сасайте и через жс начинаем сканировать сети пользователей и раскладывать задние двери.

slowpony ★★★★★
(13.04.21 18:18:15 MSK)