+ Responder ao Tópico



  1. #1

    Padrão Conexão UDP sem src ou dst ports transferindo dados

    Galera, estava dando uma olhada em um cliente específico em que sua conexão esta a alguns dias usando totalmente sua banda, suas conexões estavam sendo contabilizadas por uma regra do mangle como (Outras Conexões UDP), uma regra que fiz, onde após marcar todo o trafego desejado das conexões "conhecidas", o restante é marcado por esta regra e no qos (Queue Tree) recebe a última prioridade, mas fiquei curioso para saber o que pode ser isso, pois apesar de ser uma conexão udp em que é possível transferir dados (streaming por ex. em que não existe um controle de recebimento, ou ordem dos pacotes), pelo menos deveria existir uma porta de chegada ou de destino, alguém sabe o que poderia ser isso ?

    Ah, o cliente não ta furando o controle de banda, agora verificando as conexões marcadas deste cliente, apenas 1 tcp de entrada e 1 de saída, algumas marcadas como "warez" como saída e um monte de conexões udp como "Outras Conexões UDP".

    Se eu fizer uma regra no filters onde src/dst ports for diferente de (0-65535), drop, lembrando que já faço o bloqueio de portas baixas para os clientes (ip clientes src port = 0-1024 drop) para que ninguém abra um web-server, ftp, etc.. de prache... será que funcionará ?
    Alguém já se deparou com esta situação ?

    Segue um print do torch deste cliente.
    Obrigado
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         pppoe torch.jpg
Visualizações:	105
Tamanho: 	149,9 KB
ID:      	5941  
    Última edição por agpnet; 02-11-2009 às 03:39.

  2. #2

    Padrão

    já pensou na possibilidade de ser algum tipo de vírus, ja tive problema similar, mais era 1 udp e um monte tcp, fui no cliente, a maquina tava quase saindo correndo de tantos vírus, não deu pra tirar todos, formatei o pc e parou de dar o problema...



  3. #3

    Padrão

    existe esta possibilidade, mas acredito que seja um p2p porque la em connections aparecem diversas conexões do tipo "warez" para este cliente, e outra coisa, este cliente é "doido" por p2p, a maquina dele passa mais tempo ligada que uma geladeira rsrsrsrs, mas isto não emporta pois ele esta dentro do limite de banda, tem todo o direito, mas eu gostaria de saber o que seriam estas conexões sem porta de saída ou destino.... isto me intriga...

  4. #4

    Padrão

    ate pergunto pra galera que manja de vpn, em um curso que fiz de cisco o professor me disse que quando ha um tunel fechado entre o pc e o servidor, existe esta possibilidade dos roteadores não saberem quais portas estão sendo utilizadas dentro do tunel...

    Também gostaria de saber se isto é verdade e se pode ser isto...



  5. #5

    Padrão

    Acho que vou implementar alguma coisa com filtro de layer7 em cima deste cliente e verificar o que pode ser... eu tenho o arquivo l7-protos.rsc em files do mk, alguém sabe como executar este script para preencher a lista dos protocolos ?