Trafego muito estranho

**iacosta** · 26-09-2005, 17:57

Alguem pode me dar uma dica há alguns dias começou a aparecer uns pacotes UDP muito estranho e minha rede esta muito lenta acredito que seja algum tipo de virus mas não consigo identificar qual virus para tirar das maquina o Norton não detecta nada.

tcpdump: listening on wpcm1 ^x
x11:37:39.430017 arp who-has 172.16.3.31 tell 172.16.3.1 ~x
x11:37:39.432114 arp reply 172.16.3.31 is-at 0:40:f4:c6:89:34 ax
x11:37:41.472825 172.16.3.31.5060 > 200.214.13.67.5060: udp 2 ax
x11:37:51.726330 172.16.3.31.5060 > 200.214.13.67.5060: udp 2 ax
x11:37:54.725632 172.16.3.31.5060 > 200.214.13.67.5060: udp 459 ax
x11:37:56.474869 172.16.3.31.5060 > 200.214.13.67.5060: udp 459 ax
x11:37:59.725205 172.16.3.31.5060 > 200.214.13.67.5060: udp 459 ax
x11:38:01.973638 172.16.3.31.5060 > 200.214.13.67.5060: udp 2 ax
x11:38:02.680535 200.214.13.67.5060 > 172.16.3.31.5060: udp 468 (DF) [tos 0x1ax
x11:38:02.782110 200.214.13.67.5060 > 172.16.3.31.5060: udp 549 (DF) [tos 0x1ax
x11:38:02.789806 172.16.3.31.5060 > 200.214.13.67.5060: udp 607 ax
x11:38:04.475924 172.16.3.31.5060 > 200.214.13.67.5060: udp 607 ax
x11:38:04.925169 200.214.13.67.5060 > 172.16.3.31.5060: udp 468 (DF) [tos 0x1ax
x11:38:04.980350 200.214.13.67.5060 > 172.16.3.31.5060: udp 549 (DF) [tos 0x1ax
x11:38:07.726454 172.16.3.31.5060 > 200.214.13.67.5060: udp 607 ax
x11:38:08.677837 200.214.13.67.5060 >

Vale qualquer dica...... :

**sergio** · 26-09-2005, 21:52

isso tah parecendo mais trafego P2P... pelo que vi estah usando star-os... se for atualize para a versao 2.10 e use o layer7 para fazer shaping das conexoes P2P...

sarna · 26-09-2005, 23:13

Vc pode bloquear pra ver se melhora a rede!

iptables -I FORWARD -p udp --dport 450:650 -j DROP

sarna · 26-09-2005, 23:16

Cara a sua rede é 172.16.X.X ?
Tive sérios problemas com essa faixa a ips, é bem estranho ela, por que pega muitos endereços de ips, ela pegava mais de 800 hosts na mesma rede, sem falar que dá muito problema de sync-flood!

Procura umas regras pra previnir isso que é bem importante!

**iacosta** · 27-09-2005, 01:25

Sergio,

Como eu faço esta atualização do Star-os é como atualizar o Firmware ou tem que reinstalar tudo novamente. A versão que estou usando é Server Edition V 2.00.2 (build 4346)

**sergio** · 27-09-2005, 20:42

Postado originalmente por iacosta

Sergio,

Como eu faço esta atualização do Star-os é como atualizar o Firmware ou tem que reinstalar tudo novamente. A versão que estou usando é Server Edition V 2.00.2 (build 4346)

entra no http://forum.star-os.com.br que tem um post com o macete de atualizar o firm. :good:

**sergio** · 27-09-2005, 20:44

Postado originalmente por sarna

Vc pode bloquear pra ver se melhora a rede!

iptables -I FORWARD -p udp --dport 450:650 -j DROP

sarna, sem querer ser chato... mas onde eh que arrumou estas portas?? pelo que vi no log a porta que tah gerando o trafego eh a 5060...

**fbig** · 29-09-2005, 13:12

mermao!!! onde tu aprendeu rede?
quer dizer q a rede 172 cabe um montao de ips..???
gentem boa quem determina o tamanho da rede é a mascara...
Jesus!!! so tenho 2 dias nesse forume to de boaca aberta!!
fuii

Postado originalmente por sarna

Cara a sua rede é 172.16.X.X ?
Tive sérios problemas com essa faixa a ips, é bem estranho ela, por que pega muitos endereços de ips, ela pegava mais de 800 hosts na mesma rede, sem falar que dá muito problema de sync-flood!

Procura umas regras pra previnir isso que é bem importante!

sarna · 29-09-2005, 13:53

Postado originalmente por fbig

mermao!!! onde tu aprendeu rede?
quer dizer q a rede 172 cabe um montao de ips..???
gentem boa quem determina o tamanho da rede é a mascara...
Jesus!!! so tenho 2 dias nesse forume to de boaca aberta!!
fuii

Postado originalmente por sarna

Cara a sua rede é 172.16.X.X ?
Tive sérios problemas com essa faixa a ips, é bem estranho ela, por que pega muitos endereços de ips, ela pegava mais de 800 hosts na mesma rede, sem falar que dá muito problema de sync-flood!

Procura umas regras pra previnir isso que é bem importante!

Cara!
Coloque qualquer mascara nessa rede! No pc que tem essa rede, tem que ter acesso a net com ip público!
E rode o programa ettercap, que é um sniffer muito poderoso! E olhe quantos ips vai aparecer... daí vc vem falar pra mim sobre mascaras!
Ok?

6)

**smvda** · 29-09-2005, 16:07

Postado originalmente por fbig

mermao!!! onde tu aprendeu rede?
quer dizer q a rede 172 cabe um montao de ips..???
gentem boa quem determina o tamanho da rede é a mascara...
Jesus!!! so tenho 2 dias nesse forume to de boaca aberta!!
fuii

Postado originalmente por sarna

Cara a sua rede é 172.16.X.X ?
Tive sérios problemas com essa faixa a ips, é bem estranho ela, por que pega muitos endereços de ips, ela pegava mais de 800 hosts na mesma rede, sem falar que dá muito problema de sync-flood!

Procura umas regras pra previnir isso que é bem importante!

Este fórum engloba tanto questões de iniciantes como avançadas então situações diferentes ao seu conhecimento vão surgir e continuarão surgindo então se puder ajudar contribua caso contrario ignore.

A quem gerou o tópico o seu problema deve ser P2P mesmo veja como esta sua rede faça um mapa dela e libere somente o que é preciso e bloqueie todo o resto isso deve resolver.

Abraço.

**irado** · 29-09-2005, 16:24

a máscara define SUB-REDES. As redes em si são definidas pela IANA e estão bem explícitos na RFC-3330. A redes privativas estão explicitadas pela RFC-1918. Então, em que pese o ALTO (??) conhecimento demonstrado pelo colega (??) fbig, ouso dizer que êle está (minimamente) equivocado. Mas é pretencioso, sem dúvida, e meio pro exagerado quanto aos seus (pretensos) conhecimentos. Talvez tenha faltado nessas aulas de rêde?

Só extendendo um bocadinho: a rede publica 172.0.0.0/8 (máscara 8, sim) abriga nada mais nada menos que 16.777.214 hosts. Se o preclaro e sábio fbig quiser, pode fazer o cálculo. São mais de DEZESSEIS MILHÕES de hosts, o que (pra mim) significa um número absurdamente grande.

(o privado é 172.16.0.0/12 e tem "apenas" 1.048.574 hosts)

Então, fbig, voltando às aulas que vc faltou, se vc utilizar máscaras diferentes, poderá dividir essa rede IMENSA em várias redes menores. Usualmente fazemos isso para u'a melhor administração. Mas isso vc também ainda não aprendeu. Aliás, nem educação básica (netiquette) vc tem

**smvda** · 29-09-2005, 16:27

Postado originalmente por irado

a máscara define SUB-REDES. As redes em si são definidas pela IANA e estão bem explícitos na RFC-3330. A redes privativas estão explicitadas pela RFC-1918. Então, em que pese o ALTO (??) conhecimento demonstrado pelo colega (??) fbig, ouso dizer que êle está (minimamente) equivocado. Mas é pretencioso, sem dúvida, e meio pro exagerado quanto aos seus (pretensos) conhecimentos. Talvez tenha faltado nessas aulas de rêde?

Só extendendo um bocadinho: a rede privativa 172.0.0.0/8 (máscara 8, sim) abriga nada mais nada menos que 16.777.214 hosts. Se o preclaro e sábio fbig quiser, pode fazer o cálculo. São mais de DEZESSEIS MILHÕES de hosts, o que (pra mim) significa um número absurdamente grande.

Então, fbig, voltando às aulas que vc faltou, se vc utilizar máscaras diferentes, poderá dividir essa rede IMENSA em várias redes menores. Usualmente fazemos isso para u'a melhor administração. Mas isso vc também ainda não aprendeu. Aliás, nem educação básica (netiquette) vc tem

Tucheeee :tiro: :tiro: :tiro: :tiro:

mando bem Irado ......

**sergio** · 29-09-2005, 16:38

o q era mesmo o assunto do post???? :roll: :roll: :roll: :twisted:

**oyama** · 29-09-2005, 20:44

hehehe, a galera já gosta de uma guerrinha, O pessoal esquece que o forum foi feito para ajudar uns aos outros e nao requisito para participar do forum ser expert e sim ter bom senso. Ouvir e aprender e assimm que eu estou aprendendo...

nao sou mineiro mas to comendo queto :P, vamos deixar a arrogancia de lado e ser humilde pois ninguem sabe tudo, sempre tem um começo.

**DropALL** · 29-09-2005, 23:33

Sobre o que era esse post mesmo em? :P :toim:

Ah, isso eh P2P sem duvida, peguei coisa MUITO parecida com isso sendo gerada por video conferencia! :P

**Francinei** · 29-09-2005, 23:39

Postado originalmente por fbig

mermao!!! onde tu aprendeu rede?
quer dizer q a rede 172 cabe um montao de ips..???
gentem boa quem determina o tamanho da rede é a mascara...
Jesus!!! so tenho 2 dias nesse forume to de boaca aberta!!
fuii

Postado originalmente por sarna

Cara a sua rede é 172.16.X.X ?
Tive sérios problemas com essa faixa a ips, é bem estranho ela, por que pega muitos endereços de ips, ela pegava mais de 800 hosts na mesma rede, sem falar que dá muito problema de sync-flood!

Procura umas regras pra previnir isso que é bem importante!

Como dizia meu avô:
O Caboclo ta mecheindo em casa de marimbondo!

sarna · 30-09-2005, 08:54

Foi mal por sair do assunto do tópico, mas isso é uma coisa que realemente acontece com essa rede, devido a mascara e acho que não só por isso!

Quando eu estava fazendo os testes com essa rede, eu consegui ver dados remotos com ARP Injection nas conexões, e arp injection funciona somente na rede local... Sei lá eu como que isso acontece, por que em curso de redes não se aprende isso... hehehehe

Particularmente eu não usso essa rede, prefiro colocar redes 192.x.x.x que são proprias pra redes internas (nada que impreça vc de usar outra).

**Bios** · 30-09-2005, 09:10

Pessoal !!

Isso aqui já virou bagunça !!!

6)

6)

Não vamos baixar a qualidade do forum ...por favor

Trafego muito estranho

Ferramentas de Tópicos