Непонятные пакеты.
Добавлено: 2009-12-01 18:07:56
Появились лаги сети, начал выяснять причины. Установил snort по пособию
Схема сети:
абоненты -> роутер для шейпинга (на ipfw) -> NAT на pf -> BGP роутер
Все роутеры на FreeBSD 7.0
Обнаружилась непонятная активность...
Т.е. получается, что наш сервак отвечает фрагментированными icmp запросами...
Хостов на которые идут ответы не слишком много, но ответы достаточно частые (до 30% всего трафика заброкованного snort)
Что может заставлять сервер генерировать такие ответные пакеты ?
Схема сети:
абоненты -> роутер для шейпинга (на ipfw) -> NAT на pf -> BGP роутер
Все роутеры на FreeBSD 7.0
Обнаружилась непонятная активность...
В данном случае x.x.x.x - ip адрес внутреннего интерфейса сервака с NATТригерная структура - [snort] (spp_frag3) Short fragment, possible DoS attempt
Пакеты
Адрес источника Адрес назначения Ver Hdr Len TOS length ID fragment offset TTL chksum
x.x.x.x 172.17.135.6 4 20 0 56 34392 yes 0 127 39433 =0x9a09
Данные по ICMP
type code checksum ID seq #
() Echo Reply ()
=
0x0
Т.е. получается, что наш сервак отвечает фрагментированными icmp запросами...
Хостов на которые идут ответы не слишком много, но ответы достаточно частые (до 30% всего трафика заброкованного snort)
Что может заставлять сервер генерировать такие ответные пакеты ?
(разве что через пару дней)