Forum » Informacijska varnost » Neznan promet na routerju v omrežju - Telemach
Neznan promet na routerju v omrežju - Telemach
Daniel ::
Torej, nekaj dni smo bivši Teleingovi naročniki na novo pod Telemachom. Ker še čakamo, da bo vse delovalo kot bi naj sem danes delal speedtest, ki je pokazal 30/100 namesto 100/100. To se pod Teleingom ni nikoli dogajalo. Ker imam lasten router za modemom sem malo pogledal kaj se dogaja in kot kaže promet iz nekih tujih IPjev gre preko mene na Telemachov IP, ki pa ni moj. V zadnjih par minutah sta se IPja menjala parkrat, vedno pa gre med 20 in 70 Mbit prometa čez nje. Resetiral sem že router, ga posodobil na najnovejši firmware, edino modema še nisem resetiral. Tudi če iztaknem vse kable iz Mikrotika in imam prazen WiFi promet ostaja.
Na Telemachu ne vedo za kaj se gre.
Kaj za vraga je to?
https://www.dropbox.com/s/k5y807y1o7a16...
https://www.dropbox.com/s/e4whv6oo49831...
Na Telemachu ne vedo za kaj se gre.
Kaj za vraga je to?
https://www.dropbox.com/s/k5y807y1o7a16...
https://www.dropbox.com/s/e4whv6oo49831...
imagodei ::
Kako vraga pa promet prihaja do tebe? Ti imaš samo en WAN priključek, kajne? Problem z routingom na Telemachovi strani? Pakete forwardirajo tebi namesto na nek drug IP znotraj svojega omrežja?
- Hoc est qui sumus -
Invictus ::
Mulo ima vklopljen torrent 
.
. "Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Daniel ::
@Invictus Si sploh pogledal sliko ali kar nekaj na prazno nabijaš? Kvečjemu si mulo tukaj ti. A vidiš kje na vmesnikih, da promet kam odhaja v lokalno omrežje?
Točno tako izgleda, kot, da se paketi usmerjajo v moje omrežje, naprej pa potem ne gredo, ker odhodnega prometa ni videti. Se pa Source / Destination IPji vsake nekaj minut menjajo, promet pa ostaja.
https://www.dropbox.com/s/ml5qhzad9bdjr...
Točno tako izgleda, kot, da se paketi usmerjajo v moje omrežje, naprej pa potem ne gredo, ker odhodnega prometa ni videti. Se pa Source / Destination IPji vsake nekaj minut menjajo, promet pa ostaja.
https://www.dropbox.com/s/ml5qhzad9bdjr...
Zgodovina sprememb…
- spremenil: Daniel ()
Daniel ::
Na zadnji sliki se lepo vidi spodaj, kjer deluje Torch, ip, ki ima na koncu 208 je moj WAN ip, tisti nad njim pa mi ustvarja promet.
Jst ::
Na hitro: nisem gledal slik; ima mogoče to kaj veze z UniFi? Kolikor sem seznanjen z Slo (in okolico Slovenije) Telemachom, imajo modemi 2 wifi vmesnika, drugega "skritega" za UniFi.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Daniel ::
Moj nima, je optični Genexis Hybrid, ki je v čisti bridge funkciji. Niti ni nobenega dodatnega WiFija videti.
Zgodovina sprememb…
- spremenil: Daniel ()
starfotr ::
Se vidi, da so telesmehovci neki šalabajzerji. Že v Celju, kjer so prevzeli Turnška, je vse v p... Tudi tukaj vam bo kakovost storitev padla.
Daniel ::
Poskusil priklopiti računalnik direktno na modem, dobil povsem drug IP, rezultat enak, Speedtestu manjka precej downloada:
http://www.speedtest.net/my-result/d/8d...
http://www.speedtest.net/my-result/d/8d...
jukoz ::
Če jim ne težiš ne boš nič dosegel. Koliko časa pa to že traja? Pokliči na tehnično pomoč in zahtevaj enega tehnika, naj ti da mail da mu pošlješ rezultate oz naj si jih pogleda tu. Če traja to že več dni jim povej da jim ne boš plačal računa. Več kot to pa ne moreš...
imagodei ::
Vpraš jih, če imajo port isolation vklopljen: Private VLAN @ Wikipedia
Private VLAN, also known as port isolation, is a technique in computer networking where a VLAN contains switch ports that are restricted such that they can only communicate with a given "uplink". The restricted ports are called "private ports". Each private VLAN typically contains many private ports, and a single uplink. The uplink will typically be a port (or link aggregation group) connected to a router, firewall, server, provider network, or similar central resource.
...
A typical application for a private VLAN is a hotel or Ethernet to the home network where each room or apartment has a port for Internet access. Similar port isolation is used in Ethernet-based ADSL DSLAMs.
- Hoc est qui sumus -
Daniel ::
Tole traja od danes. Preden sem pisal sem so me vezali k tehniku, ki pa ni vedel nič narediti, saj ne vidi, da bi bilo kaj narobe. Videl je samo neki lokalni IP od modema, ki pa nima nobene funkcije in povezave s tem. Sem jim še pisal, pa bomo videli.
Invictus ::
Glede na to da imaš Mikrotika, a lahko mal preveriš vsebino paketov? Ali vsaj porte?
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Daniel ::
Ok, Wireshark, in direktno kabel v računalnik.
https://www.dropbox.com/s/x8mcuxjolsusf...
Zadeva mi nabije procesor na 80% (E6600) in mrežni promet na 31,5 MB
https://www.dropbox.com/s/x8mcuxjolsusf...
Zadeva mi nabije procesor na 80% (E6600) in mrežni promet na 31,5 MB
Zgodovina sprememb…
- spremenil: Daniel ()
Daniel ::
Žal iz tega ne izvem nič več, oziroma ne vem razvozlati kaj bi ti porti pomenili.
https://www.dropbox.com/s/qh3tdckiiqtec...
https://www.dropbox.com/s/qh3tdckiiqtec...
nsa_ag3nt ::
91.236.1.132 je push slotech
80.82.77.139 je shodan https://www.shodan.io/ .
https://fullip.info/service/lookup/
Preveri sistem za trojanci/virusi/malware.
Imaš kakšen iptv ?
80.82.77.139 je shodan https://www.shodan.io/ .
https://fullip.info/service/lookup/
Preveri sistem za trojanci/virusi/malware.
Imaš kakšen iptv ?
https://gizmodo.com/c/goodbye-big-five
Zgodovina sprememb…
- spremenilo: nsa_ag3nt ()
nsa_ag3nt ::
Tole imaš na off ? (w10)
https://www.pcworld.com/article/2955491...
https://www.pcworld.com/article/2955491...
https://gizmodo.com/c/goodbye-big-five
Daniel ::
Tega nimam na OFF ampak kot že omenjeno, tudi če izklopim vse kable iz Mikrotika in vse računalnike in se z Androidnim telefonom povežem na Mikrotik preko Wifi je situacija identična. Saj v zgornjih primerih so bili drugi IPji.
rokp ::
Najkoristnejse orodje tukaj je Wireshark (ker se vidi najvec informacij). Se vec bi se seveda videlo iz zajetih podatkov (pcap-ng datoteka) in ne iz samega screenshota (ampak tu bi moral paziti, da ne bi bilo zraven se kaksnih tvojih podatkov, ki jih morda ne bi zelel razkriti).
Kaj dosti, razen tega, da tezis providerju, itak ne mores storiti, ker je tezava pri njih (floodajo ti paketke, ki so namenjeni drugim in ne samo tebi). Kaj je razlog za to, je pa brez dostopa do njihove opreme tezko reci. Se najbolj koristen nasvet je bil imagodei-ev (samo ni namenjen tebi ampak tvojemu providerju).
Kaj dosti, razen tega, da tezis providerju, itak ne mores storiti, ker je tezava pri njih (floodajo ti paketke, ki so namenjeni drugim in ne samo tebi). Kaj je razlog za to, je pa brez dostopa do njihove opreme tezko reci. Se najbolj koristen nasvet je bil imagodei-ev (samo ni namenjen tebi ampak tvojemu providerju).
Daniel ::
Imam PCAP-NG datoteko. Pustil sem vse skupaj kako minuto in dobil datoteko velikosti 768 MB. Ne vem, kaj bi se takega iz nje videlo, takrat sem imel priklopljen samo en računalnik in nič drugega.
Trenutno stanje:
https://www.dropbox.com/s/1s1whpiqpfngk...
Trenutno stanje:
https://www.dropbox.com/s/1s1whpiqpfngk...
Zgodovina sprememb…
- spremenil: Daniel ()
rokp ::
Videl bi recimo destination MAC naslove razlicnih paketov, iz tistega, kar si objavil, se je malo vec videlo samo za prvi frame. Videlo se je tudi, kateri paketki so do tebe prisli cca 120 sekund zatem, ko si zacel loviti promet, pa da je to v glavnem SIP promet. Ce bi dal medtem, ko lovis promet, recimo se "ping 8.8.8.8" ali kaj podobnega, da bi se videlo tvoj IP in MAC ter MAC tvojega gatewaya, bi se morda dalo sklepati se kaj. Iz screenshotov pa res bolj tezko, sploh, ker so tisti paketi, ki jih vidis na enem screenu, prakticno vsi enaki (oziroma podobni)...
Zgodovina sprememb…
- spremenil: rokp ()
kihc ::
Žal iz tega ne izvem nič več, oziroma ne vem razvozlati kaj bi ti porti pomenili.
https://www.dropbox.com/s/qh3tdckiiqtec...
Pomoje imaš DNS server navzven odprt. Na fw blokiraj tcp 53.
x
Daniel ::
Nič ne pomaga. Ko je bil priklopljen samo računalnik DNS ni imel nič s tem a promet je vseeno tekel.
Drugače so ti zahtevki, ki imajo na koncu ip-ja .208 dejansko iz mojega omrežja, tako da ni s tem nič narobe. Problem je v tistem vnosu na vrhu, ki troši ogromne količine podatkov.
Drugače so ti zahtevki, ki imajo na koncu ip-ja .208 dejansko iz mojega omrežja, tako da ni s tem nič narobe. Problem je v tistem vnosu na vrhu, ki troši ogromne količine podatkov.
Zgodovina sprememb…
- spremenil: Daniel ()
Daniel ::
Npr. tole:
https://www.dropbox.com/s/6sou48q64ldem...
Tukaj sem svoj računalnik priklopil na Ether6 vmesnik in onemogočil vse ostale priklopljene razen bridge in ether1, ki je WAN. Enako prvi vnos povzroča ogromno prometa. Izgleda kot SIP promet.
https://www.dropbox.com/s/6sou48q64ldem...
Tukaj sem svoj računalnik priklopil na Ether6 vmesnik in onemogočil vse ostale priklopljene razen bridge in ether1, ki je WAN. Enako prvi vnos povzroča ogromno prometa. Izgleda kot SIP promet.
Zgodovina sprememb…
- spremenil: Daniel ()
rokp ::
Nekdo ima najverjetneje L2 loop (veliko stevilo identicnih paketov).
Kar se slik, ki jih lepis, tice, je pa tako, da je problematicen Rx (received) promet, na katerega itak nimas vpliva. Klici providerja in naj oni uredijo, lahko jim reces, da do tebe pride promet (in to enormne kolicine), ki ni namenjen tebi.
Kar se slik, ki jih lepis, tice, je pa tako, da je problematicen Rx (received) promet, na katerega itak nimas vpliva. Klici providerja in naj oni uredijo, lahko jim reces, da do tebe pride promet (in to enormne kolicine), ki ni namenjen tebi.
Daniel ::
Saj, da bi vsaj lahko kako blokiral zadevo, pa je nikakor ne moreš. Sem jim že vse pojasnil na FB, me prav zanima kako dolgo bojo rabili, da najdejo vzrok, glede na to, da se jim sedaj po prevzemu Teleinga vse podira (prej je delalo brez težav).
rokp ::
Ce bi blokiral pri sebi, itak ne bi s tem nic dosegel (ker ti je promet ze obremenil linijo).
Invictus ::
Glede na izkušnje Telesmeha, najbrž nič .
. "Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
crniangeo ::
zgleda imajo spet tisto zgodbo s preteklih let, ko si lahko na svoji linux masini zagnal mirkforce in se igral na irc strežnikih s 1001 ipji :)
Convictions are more dangerous foes of truth than lies.
Invictus ::
Poberi source IPje in vsaj preveri kdo je lastnik le teh...
Da boš vsaj vedel od kod prihajajo...
Da boš vsaj vedel od kod prihajajo...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- spremenil: Invictus ()
Daniel ::
Daniel ::
No, danes so zadeve popravili, nimam več tujega prometa v omrežju. Kaj je bilo narobe žal ne vem :)
Zgodovina sprememb…
- spremenil: Daniel ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | USB ključ ne dela po formatiranju??Oddelek: Strojna oprema | 3061 (1320) | djmeethra2 |
| » | Remote Desktop - Windows 10Oddelek: Omrežja in internet | 5138 (2765) | NoName |
| » | MSI laptop nadgradnja SSDOddelek: Kaj kupiti | 903 (671) | TheBlueOne |
| » | Odstranitev programa - virusa ?Oddelek: Pomoč in nasveti | 1196 (912) | Fsegula62 |
| » | Neznani IP naslovi v ARP tabeli znotraj modemaOddelek: Omrežja in internet | 2099 (1540) | rokp |