Авторизация

Topic-icon Странная активность

Больше
1 год 1 мес. назад #1689 от C8R
C8R создал эту тему: Странная активность
Добрый день.
Сейчас заметил, что удаленный роутер что-то куда-то передаёт, увидел это в админке зукселя, на первой странице.
В сети роутера только регистратор, облачные сервисы и т.п. на нём отключены.
Другие туннели тоже отключены.
Как понять куда идет трафик? Возможно это не из-за работы сервиса vpnki, но все-же, кстати такое второй раз, кудато передаёт по 5-10Гб 0_0...
Логин user3131.
Спасибо.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад #1690 от admin
admin ответил в теме Странная активность
Я правильно понимаю что речь идет о 5-10 Гигабайтах?

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад #1691 от admin
admin ответил в теме Странная активность
Вы можете зайти на страницу "Инструменты" и нажать кнопку "Интерфейсы", там окажется список интерфейсов вашего виртуального маршрутизатора vpnki. Это пример моих интерфейсов...

В составе вывода есть как счетчики принятых и переданных пакетов (RX и TX packets) так и количество переданных байт.
Посмотрите каковы эти счетчики сейчас и скиньте скриншот.
(Понять какой из интерфейсов относится к какому туннелю можно обратившись к кнопке "Таблица маршрутов". Там будет связь имени интерфейса с IP адресом вашего туннеля.)

Я сегодня весь день в дороге, поэтому смогу более детально посмотреть только вечером.

если все заработало - нажмите на баннеры!
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад - 1 год 1 мес. назад #1692 от C8R
C8R ответил в теме Странная активность
>>Я правильно понимаю что речь идет о 5-10 Гигабайтах?

Да, речь об этом, куда-то улетело.

Странность в том, что в связке лишь роутер и регистратор.
Роутер как шлюз для удаленного просмотра через pptp. Облака не использую, пишу картинку на встроенный hdd, мобильный канал и pptp использую только для просмотра, но это пару раз в день, по паре минут. Т.е. это меньше 1Гб за всё время.
Роутер и рег. запаролены, в админке, стандартными средствами видно, что сторонних подключений нет.

Скрин интерфейсов в приложени. Как я понимаю смотрим в эти строки: RX bytes:736 (736.0B) TX bytes:374 (374.0B)

Утром роутер что-то куда- передавал на скоростях ~500кбит/с, сейчас стабильно на ~50.0 кбит/с, передал порядка 0.5-1Гб за утро.

Спасибо за помощь, хотел бы понять куда идёт трафик со всеми вытекающими.
Вложения:
Последнее редактирование: 1 год 1 мес. назад от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад - 1 год 1 мес. назад #1694 от C8R
C8R ответил в теме Странная активность
Установлю и попробую Модуль захвата сетевых пакетов на роутере, постараюсь проанализировать трафик, если разберусь.

UPD:

в основном (95%), трафик выглядит так:



как я понял это роутер 192.168.3.1, с кем-то взаимодействует через Ваш сервис 172.16.0.1
На скрине я отметил 192.168.8.100, 192.168.8.1 - это адрес USB модема, воткнутого в роутер, 192.168.8.100 - модем присвоил адрес роутеру, а 193.232.49.4 - искомый пожиратель трафика?

UPD2:

Перешел по 193.232.49.4, а это vpnki.ru , тогда я чтото не так понял...
Вложения:
Последнее редактирование: 1 год 1 мес. назад от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад - 1 год 1 мес. назад #1698 от admin
admin ответил в теме Странная активность
Ох, я ничего не понимаю.
1. На этом скрине данные из верхнего списка и выделенная строка имеют адрес источника - 192.168.3.1, а адрес получателя - 172.16.0.1
В то же время, на нижней части экрана (там где более детальная информация о выделенной строке) адрес источника - 192.168.8.100, а адрес получателя - 193.232.49.4
Как-то не бьется эта информация.

2. Кроме того, это пакеты ACK (acknowledgement) и они посылаются в качестве подтверждения того, что какие-либо ранее переданные пакеты приняты успешно.
То есть речь о том, что ранее какой-то трафик был успешно загружен со стороны 172.16.0.1 на адрес 192.168.3.1 и что важно - на порт 80, который обычно означает веб-сервер.
В данном случае какие-то данные загружались на веб сервер на 192.168.3.1?

3. Размер этих пакетов около 1400 байт или 1,4 килобайт. И следуют они по 2-3 пакета в секунду.
Это означает, что 5 гигабайт можно такими пакетами набрать за 13-14 дней непрерывной долбежки... но что это за пакеты и что они подтверждают я не понимаю

4. Следующая странность в ваших адресах. Если вы говорите об IP адресе модема, то каким образом модем связан с рутером и какая между ними IP сеть мне не понятно.

5. Я посмотрел состояние ваших интерфесов и не вижу там существенных цифр, все вполне нормально, но я не смотрел длитеьность этих сессий, так как не имею сейчас такой возможности.

ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:19531 errors:0 dropped:0 overruns:0 frame:0
TX packets:20190 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:23354556 (23.3 MB) TX bytes:3918784 (3.9 MB)

ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0 B) TX bytes:374 (374.0 B)


6. В интерфейсе vpnki в раззделе СТАТИСТИКА ПОДКЛЮЧЕНИЙ есть информация о реально переданном объеме трафика по последним сессиям. Там есть что-то что может дать в сумме 5-10 гигабайт?

7. Если ничего похожего нет, то вполне возможно, что статистика рутера учитывает передаваемые пакеты дважны - и на физическом интерфейсе и на логическом интерфейсе (ppp)

Нужна схема соединения устройств с адресами.

если все заработало - нажмите на баннеры!
Последнее редактирование: 1 год 1 мес. назад от admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад - 1 год 1 мес. назад #1701 от C8R
C8R ответил в теме Странная активность
1. Не могу прокоментировать
2. Аналогично
3. Роутер работает месяц. Настолько активную скорость передачи заметил только сегодня, что было до этого момента - не известно
4. Набросал примерную топологию:

5. При анализе сетевых пакетов пришлось перезагрузить роутер, т.е. сейчас новая сессия
6.

user3131 - роутер, про который идёт речь, с 11.01.18, отправлено ~1.5Гб

7. Не могу прокоментировать
Вложения:
Последнее редактирование: 1 год 1 мес. назад от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 1 мес. назад #1702 от admin
admin ответил в теме Странная активность
1. Судя по статистике vpnki, очень похоже, что трафик от туннеля 3031 ходил в туннель 3074 (самые нижние две строки). Там есть разница в ~50 мегабайт, но порядок цифр похож.
Следующие две строки снизу тоже показывают, что трафик из 3031, скорее всего, ходил в 3074 и тоже есть разница около 150 мегабайт.
Это составляет бОльшую часть трафика. Вы знаете что это за трафик? Получатель 3074, как 3031 тоже висел в онлайне весьма долго.

2. Сейчас сессии ваших туннелей висят около 10 часов. Трафика на интерфейсах почти нет. То есть эта ситуация не воспроизводится. Возможно после перезагрузки?

ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:20255 errors:0 dropped:0 overruns:0 frame:0
TX packets:20897 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:24279212 (24.2 MB) TX bytes:4017966 (4.0 MB)

ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0 B) TX bytes:374 (374.0 B)

3. Мне не понятна разница в суммах трафика по вашим интерфейсам из п.1 (50 + 150 мегабайт). Это весьма приличные цифры, которые не бьются в статистике. Куда делся этот трафик я не понимаю, возможно у вас активны Публикация URL или доступ через прокси и т.д. Тогда часть трафика уйдет в другие интерфейсы (не ppp) и не будет отражена в этой статистике подключений.

4. По поводу USB модема. Скорее всего, адрес 192.168.8.1 это адрес не модема, а адрес маршрутизатора провайдера, которы выдал на ваш маршрутизатор адрес 192.168.8.100
Если так, то скрин с вашего анализатора трафика становится чуть более ясным. В нижней части экрана идут адреса между реально которыми установлен туннель. 192.168.8.100 и 93.232.49.4
То, что показывается в верхней части окна это уже адреса внутри туннеля - 172.16.0.1 и 192.168.3.1 .... ох уж этот Zyxel

Вероятнее всего, снятый кусок дебага показывает подтверждение от веб-интерфейса модема в сторону сервера vpnki о состоянии (там есть в расшифровке <uptime>335</up time>)
Так как получателем является сервер vpnki - 172.16.0.1, а не другой ваш туннель, то скорее всего это обращения через Публикацию URL на имя "om...." - именно под ним выставлен 80 порт вашего модема.
Может быть это открытая страница в вашем браузере в интернет (ну или не вашем, а всяких любителей посканить и потыкать).

Как бы там ни было, трафик размером в 1 гигабайт и трафик из дебага по 80 порту модема, скорее всего, это разные истории.
В одном случае это "туннель 3074", а во втором массовые коммуникации на 80 порт модема через Публикацию URL...

Сейчас все ок, но вам необходимо понаблюдать за ситуацией с трафиком и если обнаружится странность - дайте знать.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.