Что это может быть

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
j4ck
проходил мимо

Что это может быть

Непрочитанное сообщение j4ck » 2007-11-01 0:55:54

У нас локальная сеть 172.
Мой адрес 172.16.101.102, стоит пятая фря.
TrafShow показывает непонятную мне картинку
..покоцано..
172.16.104.200,19306 84.204.156.170,20743 tcp 144 7
172.16.104.200,19309 79.120.71.225,22889 tcp 144 8
172.16.104.200,19308 nat-02.asteis.net,34718 tcp 144 7
172.16.104.200,19307 62.105.22.59,21992 tcp 144 7
172.16.104.200,19311 82.179.117.45,50679 tcp 96 31
172.16.104.200,19313 89.178.111.142,49411 tcp 96 32
172.16.104.200,19310 212.7.30.82,47848 tcp 96 33
172.16.104.200,19314 85.140.232.2,18134 tcp 96 32
172.16.104.200,19312 88.210.54.251,29830 tcp 96 32
172.16.104.200,19315 84.57.142.187,25575 tcp 96 32
172.16.104.200,18974 pool26.ice.at-mr.tc-exe.ru,64237 udp 95
172.16.104.200,18974 195.38.63.34,37181 udp 95
172.16.104.200,18974 89.181.8.180,34414 udp 95
172.16.104.200,18974 ppp83-237-196-253.pppoe.mtu-net.,21790 udp 95
172.16.104.200,18974 85.29.203.57,54183 udp 95
..покоцано..
Очень интересно узнать у знакотоков сетевых взаимоотношений,
почему я вижу эти соединения (адрес 172.16.104.200), если мой компьютер выполняет функцию простого десктопа..

Спасибо, j4ck

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Что это может быть

Непрочитанное сообщение Alex Keda » 2007-11-01 1:20:46

а что на этом IP
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Что это может быть

Непрочитанное сообщение dikens3 » 2007-11-01 10:41:46

Твой комп включён в HUB, как вариант. Вот ты и видишь всякую фигню.
Твой комп имеет MAC-Адрес равный тому компу, т.е. ты слушаешь сеть, но отправить ничего не можешь.(Хакер ты)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

j4ck_
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-11-01 15:21:09

Re: Что это может быть

Непрочитанное сообщение j4ck_ » 2007-11-01 15:32:22

lissyara
>> а что на этом IP
судя по нмапу это какой то роутер-свитч.. (могу выложить отчет)

dikens3
Одинаковые мак исключено..
Свитч дома на пару компов, потом провод идет на крышу. дальнейшая топология сети мне неизвестна :|

Просто интересно, почему мне показываются соединения другого компьютера и другого IP.

>> Твой комп включён в HUB
я так понимаю чтобы видеть соединения, они должны проходить через меня, значит типа я роутер?

нипонятна!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Что это может быть

Непрочитанное сообщение dikens3 » 2007-11-01 16:11:07

я так понимаю чтобы видеть соединения, они должны проходить через меня, значит типа я роутер?
Нет, HUB работает на сетевом уровне, т.е. не различает MAC адресов. А значит твоя сетевуха получает не свои данные, вот и всё. Причём только входящие, исходящих же нет? :-)

P.S. Не помню, но сетевуха точно знает с каким устройством она работает. HUB, SWITCH, сетевая карта (Т.е. что на другом конце). И не помню каким методом это определяется, но помню что есть протокол под это дело. С его помощью можно получить все данные от того устройства, с которым связана твоя сетевая карта(даже марку :-) ASUS, DLINK и т.п.)
Причём получить изготовителя не по MAC адресу, а по запросу по этому протоколу. Так вот.

P.S2. Кстати, хорошая тема для статьи, ещё никем не окучена.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

j4ck_
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-11-01 15:21:09

Re: Что это может быть

Непрочитанное сообщение j4ck_ » 2007-11-01 23:09:54

Да ну бред. Каким боком я могу видеть установленные соединения другого компьютера. И где ты увидел что они только входящие.

Вообщем вот инфы еще докучи, может кто объяснит

Код: Выделить всё

#ifconfig 
rl0: flags=18843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 172.16.13.37 netmask 0xffff0000 broadcast 172.16.255.255
        inet 172.16.13.13 netmask 0xffffffff broadcast 172.16.13.13
        ether 00:11:95:5c:69:6b


#trafshow 
#j4ck.loc - это я

rl053 Flows               Total:                   1918K9039
Source                 Destination            Protocol                 Size CPS
--------------------------------------------------------------------------------
j4ck.loc,ssh           172.16.23.35,3104      tcp  201K 4866
ftp.gbcom.ru,rmt       j4ck.loc,63921         tcp  63K  73
172.16.107.193,netbios-ns                  172.16.255.255,netbios-ns                  udp  62K  104
172.16.23.35,3104      j4ck.loc,ssh           tcp  35K  591
j4ck.loc,63921         ftp.gbcom.ru,rmt       tcp  23K  46
00:1b:fc:3a:cf:70      01:80:c2:00:00:00      dot1q18K  32
00:80:48:46:07:56      01:80:c2:00:00:00      stp  17K  30
00:80:48:45:fe:5c      broadcast              arp  11K  60
00:14:85:59:79:76      broadcast              arp  7920 13
00:1b:fc:3a:cf:70      broadcast              arp  7740 60
gw16.gbcom.ru,echo-reply                   j4ck.loc               icmp 6240 10
j4ck.loc,echo-reqst    gw16.gbcom.ru          icmp 6240 10
vpn1.gbcom.ru,domain   j4ck.loc,51082         udp  5731 61
172.16.121.152,1900    239.255.255.250,1900   udp  4163
j4ck.loc,51082         vpn1.gbcom.ru,domain   udp  2478 24
00:80:48:3b:51:82      broadcast              arp  600  6
00:11:2f:87:fa:5a      broadcast              arp  420
lan.gbcom.ru,domain    j4ck.loc,51082         udp  306  123
00:80:48:40:bf:67      broadcast              arp  180  90
j4ck.loc,51082         lan.gbcom.ru,domain    udp  165  82
172.16.104.200,19563   78-106-186-93.broadband.corbina.ru,17437   tcp  144  7
172.16.104.200,19568   e176080206.adsl.alicedsl.de,25769          tcp  144  7
172.16.104.200,19562   ppp85-141-158-23.pppoe.mtu-net.ru,52167    tcp  144  7
172.16.104.200,19564   89.20.152.95,55451     tcp  144  7
172.16.104.200,19569   i59f72d5a.versanet.de,26349                tcp  144  8
172.16.104.200,19566   84.204.105.248,63898   tcp  144  7
172.16.104.200,19567   host-217-172-29-20.starnet.ru,33122        tcp  144  7
172.16.104.200,19570   ppp91-76-52-149.pppoe.mtu-net.ru,48466     tcp  144  7
172.16.104.200,19565   89.137.120.9,60943     tcp  144  7
lan.gbcom.ru,ircd      j4ck.loc,64847         tcp  137
00:80:48:28:39:5a      broadcast              arp  120  26
00:0a:5e:5f:32:85      broadcast              arp  120  13
00:1b:fc:cf:2c:7d      broadcast              arp  120  30
172.16.104.200,19572   ppp85-140-78-1.pppoe.mtu-net.ru,44817      tcp  96   31
172.16.104.200,19571   87.240.15.4,38794      tcp  96   31
172.16.104.200,19574   nat-02.asteis.net,34718tcp  96   32
172.16.104.200,19573   125.19.9.204,44823     tcp  96   32
172.16.104.200,18974   89-178-49-38.broadband.corbina.ru,10872    udp  95
172.16.104.200,18974   26.79.he.line1.ru,39111udp  95
172.16.104.200,18974   87.226.48.50,54073     udp  95
172.16.104.200,18974   81.29.134.53,49282     udp  95
172.16.104.200,18974   225-20-124-91.pool.ukrtel.net,28931        udp  95
172.16.108.109,1041    255.255.255.255,27020  udp  86   18
172.16.108.109,1041    255.255.255.255,27015  udp  86   18
172.16.108.109,1041    255.255.255.255,27018  udp  86   18
172.16.108.109,1041    255.255.255.255,27016  udp  86   18
172.16.108.109,1041    255.255.255.255,27017  udp  86   18
172.16.108.109,1041    255.255.255.255,27019  udp  86   18
172.16.1.4,netbios-ns  172.16.255.255,netbios-ns                  udp  78
172.16.100.114,netbios-ns                  172.16.255.255,netbios-ns                  udp  78
172.16.102.90,netbios-ns                   172.16.255.255,netbios-ns                  udp  78
00:19:5b:89:94:cb      broadcast              arp  60
00:30:84:ee:df:ec      broadcast              arp  60
172.16.104.200,19575   79.120.71.225,22889    tcp  48
172.16.104.200,19577   alekseevich321.dialup.corbina.ru,62145     tcp  48
172.16.104.200,19576   78.37.48.47,57212      tcp  48

#nmap -vvv -P0 -p 22 -O -sV 172.16.104.200

Starting Nmap 4.20 ( http://insecure.org ) at 2007-10-31 23:26 ¦юёъютёъюх тЁхь 
(чшьр)
Initiating ARP Ping Scan at 23:26
Scanning 172.16.104.200 [1 port]
Completed ARP Ping Scan at 23:27, 8.56s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 23:27
Completed Parallel DNS resolution of 1 host. at 23:27, 13.00s elapsed
DNS resolution of 1 IPs took 13.02s. Mode: Async [#: 2, OK: 0, NX: 0, DR: 1, SF:
 0, TR: 4, CN: 0]
Initiating SYN Stealth Scan at 23:27
Scanning 172.16.104.200 [1 port]
Completed SYN Stealth Scan at 23:27, 0.34s elapsed (1 total ports)
Initiating Service scan at 23:27
Warning:  OS detection for 172.16.104.200 will be MUCH less reliable because we
did not find at least 1 open and 1 closed TCP port
Initiating OS detection (try #1) against 172.16.104.200
Host 172.16.104.200 appears to be up ... good.
Interesting ports on 172.16.104.200:
PORT   STATE    SERVICE VERSION
22/tcp filtered ssh
MAC Address: 00:A0:C5:6F:41:0D (Zyxel Communication)
Device type: switch|WAP|general purpose|broadband router|media device
Running: Cisco embedded, D-Link Linux 2.4.X, Inventel embedded, NetBSD, Netgear
embedded, Siemens linux, Sony Linux 2.1.X
OS details: Cisco Catalyst 1900 Switch, Software v9.00.03, D-Link DSL-G604T ADSL
 router WAP, runs Linux 2.4.17, Inventel Livebox wireless broadband router, NetB
SD 4.99.4 (x86), Netgear DG834 or DG834G (wireless) DSL Router, Siemens Gigaset
SE515dsl wireless broadband router, Sony SVR-2000 TiVo (runs Linux 2.1.24-TiVo-2
.5 ppc)
OS Fingerprint:
OS:SCAN(V=4.20%D=10/31%OT=%CT=%CU=%PV=Y%DS=1%G=N%M=00A0C5%TM=4728E529%P=i68
OS:6-pc-windows-windows)U1(R=N)IE(R=Y%DFI=N%TG=FF%TOSI=S%CD=S%SI=S%DLI=S)

Network Distance: 1 hop

OS and Service detection performed. Please report any incorrect results at http:
//insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 27.469 seconds
               Raw packets sent: 21 (2488B) | Rcvd: 3 (368B)


Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Что это может быть

Непрочитанное сообщение Alex Keda » 2007-11-01 23:57:09

эта, вывод

Код: Выделить всё

sockstat
дай. а трафшовы эти...
короче sockstat давай
Убей их всех! Бог потом рассортирует...

j4ck_
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-11-01 15:21:09

Re: Что это может быть

Непрочитанное сообщение j4ck_ » 2007-11-02 0:15:34

А что ты хочешь там увидеть?
Ничего интересного... по сравнению с трафшоу).

Код: Выделить всё

root     sshd       28490 3  tcp4   172.16.13.37:22       172.16.23.35:1140
apache   httpd      28471 3  tcp4   *:80                  *:*
microdc  microdc2   770   5  udp4   *:*                   *:*
microdc  microdc2   770   8  udp4   *:50254               *:*
microdc  microdc2   769   5  udp4   *:*                   *:*
microdc  microdc2   769   8  udp4   *:50254               *:*
microdc  microdc2   766   5  udp4   *:*                   *:*
microdc  microdc2   766   8  udp4   *:50254               *:*
microdc  microdc2   766   9  tcp4   172.16.13.37:59114    192.168.1.2:411
quake    bnetd      749   6  tcp4   172.16.13.37:6112     *:*
quake    bnetd      749   8  udp4   172.16.13.37:6112     *:*
quake    bnetd      749   9  tcp4   *:6200                *:*
quake    bnetd      749   10 tcp4   172.16.13.37:9876     *:*
quake    bnetd      749   11 tcp4   172.16.13.37:6112     172.26.2.170:1196
quake    bnetd      749   12 tcp4   172.16.13.37:6112     172.19.108.255:2147
quake    bnetd      749   13 tcp4   172.16.13.37:6112     172.19.18.17:3670
quake    bnetd      749   15 tcp4   172.16.13.37:6112     172.16.0.2:1087
quake    psybnc     586   3  tcp4   *:31337               *:*
quake    psybnc     586   11 tcp4   172.16.13.37:64847    192.168.1.1:6667
quake    psybnc     586   24 tcp4   172.16.13.37:51184    192.168.1.1:6667
quake    psybnc     586   30 tcp4   172.16.13.37:31337    172.20.10.10:1396
nobody   proftpd    585   0  tcp4   *:21                  *:*
mysql    mysqld     584   3  tcp4   *:3306                *:*
root     httpd      568   3  tcp4   *:80                  *:*
root     collectd   502   10 udp4   127.0.0.1:55937       127.0.0.1:123
root     sshd       464   3  tcp4   *:22                  *:*

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Что это может быть

Непрочитанное сообщение Alex Keda » 2007-11-02 0:16:46

из этого делаем вывод что никакого левого траффика через тебя не идёт, а трафшов показывает температуру на марсе.
Убей их всех! Бог потом рассортирует...