- Сообщений: 155
- Спасибо получено: 1
Странная активность
6 года 10 мес. назад - 6 года 10 мес. назад #7
от C8R
C8R ответил в теме Странная активность
1. Не могу прокоментировать
2. Аналогично
3. Роутер работает месяц. Настолько активную скорость передачи заметил только сегодня, что было до этого момента - не известно
4. Набросал примерную топологию:
5. При анализе сетевых пакетов пришлось перезагрузить роутер, т.е. сейчас новая сессия
6.
user3131 - роутер, про который идёт речь, с 11.01.18, отправлено ~1.5Гб
7. Не могу прокоментировать
2. Аналогично
3. Роутер работает месяц. Настолько активную скорость передачи заметил только сегодня, что было до этого момента - не известно
4. Набросал примерную топологию:
5. При анализе сетевых пакетов пришлось перезагрузить роутер, т.е. сейчас новая сессия
6.
user3131 - роутер, про который идёт речь, с 11.01.18, отправлено ~1.5Гб
7. Не могу прокоментировать
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
6 года 10 мес. назад #8
от admin
если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530
admin ответил в теме Странная активность
1. Судя по статистике vpnki, очень похоже, что трафик от туннеля 3031 ходил в туннель 3074 (самые нижние две строки). Там есть разница в ~50 мегабайт, но порядок цифр похож.
Следующие две строки снизу тоже показывают, что трафик из 3031, скорее всего, ходил в 3074 и тоже есть разница около 150 мегабайт.
Это составляет бОльшую часть трафика. Вы знаете что это за трафик? Получатель 3074, как 3031 тоже висел в онлайне весьма долго.
2. Сейчас сессии ваших туннелей висят около 10 часов. Трафика на интерфейсах почти нет. То есть эта ситуация не воспроизводится. Возможно после перезагрузки?
ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:20255 errors:0 dropped:0 overruns:0 frame:0
TX packets:20897 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:24279212 (24.2 MB) TX bytes:4017966 (4.0 MB)
ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0
TX bytes:374 (374.0
3. Мне не понятна разница в суммах трафика по вашим интерфейсам из п.1 (50 + 150 мегабайт). Это весьма приличные цифры, которые не бьются в статистике. Куда делся этот трафик я не понимаю, возможно у вас активны Публикация URL или доступ через прокси и т.д. Тогда часть трафика уйдет в другие интерфейсы (не ppp) и не будет отражена в этой статистике подключений.
4. По поводу USB модема. Скорее всего, адрес 192.168.8.1 это адрес не модема, а адрес маршрутизатора провайдера, которы выдал на ваш маршрутизатор адрес 192.168.8.100
Если так, то скрин с вашего анализатора трафика становится чуть более ясным. В нижней части экрана идут адреса между реально которыми установлен туннель. 192.168.8.100 и 93.232.49.4
То, что показывается в верхней части окна это уже адреса внутри туннеля - 172.16.0.1 и 192.168.3.1 .... ох уж этот Zyxel
Вероятнее всего, снятый кусок дебага показывает подтверждение от веб-интерфейса модема в сторону сервера vpnki о состоянии (там есть в расшифровке <uptime>335</up time>)
Так как получателем является сервер vpnki - 172.16.0.1, а не другой ваш туннель, то скорее всего это обращения через Публикацию URL на имя "om...." - именно под ним выставлен 80 порт вашего модема.
Может быть это открытая страница в вашем браузере в интернет (ну или не вашем, а всяких любителей посканить и потыкать).
Как бы там ни было, трафик размером в 1 гигабайт и трафик из дебага по 80 порту модема, скорее всего, это разные истории.
В одном случае это "туннель 3074", а во втором массовые коммуникации на 80 порт модема через Публикацию URL...
Сейчас все ок, но вам необходимо понаблюдать за ситуацией с трафиком и если обнаружится странность - дайте знать.
Следующие две строки снизу тоже показывают, что трафик из 3031, скорее всего, ходил в 3074 и тоже есть разница около 150 мегабайт.
Это составляет бОльшую часть трафика. Вы знаете что это за трафик? Получатель 3074, как 3031 тоже висел в онлайне весьма долго.
2. Сейчас сессии ваших туннелей висят около 10 часов. Трафика на интерфейсах почти нет. То есть эта ситуация не воспроизводится. Возможно после перезагрузки?
ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:20255 errors:0 dropped:0 overruns:0 frame:0
TX packets:20897 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:24279212 (24.2 MB) TX bytes:4017966 (4.0 MB)
ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0
TX bytes:374 (374.0 3. Мне не понятна разница в суммах трафика по вашим интерфейсам из п.1 (50 + 150 мегабайт). Это весьма приличные цифры, которые не бьются в статистике. Куда делся этот трафик я не понимаю, возможно у вас активны Публикация URL или доступ через прокси и т.д. Тогда часть трафика уйдет в другие интерфейсы (не ppp) и не будет отражена в этой статистике подключений.
4. По поводу USB модема. Скорее всего, адрес 192.168.8.1 это адрес не модема, а адрес маршрутизатора провайдера, которы выдал на ваш маршрутизатор адрес 192.168.8.100
Если так, то скрин с вашего анализатора трафика становится чуть более ясным. В нижней части экрана идут адреса между реально которыми установлен туннель. 192.168.8.100 и 93.232.49.4
То, что показывается в верхней части окна это уже адреса внутри туннеля - 172.16.0.1 и 192.168.3.1 .... ох уж этот Zyxel
Вероятнее всего, снятый кусок дебага показывает подтверждение от веб-интерфейса модема в сторону сервера vpnki о состоянии (там есть в расшифровке <uptime>335</up time>)
Так как получателем является сервер vpnki - 172.16.0.1, а не другой ваш туннель, то скорее всего это обращения через Публикацию URL на имя "om...." - именно под ним выставлен 80 порт вашего модема.
Может быть это открытая страница в вашем браузере в интернет (ну или не вашем, а всяких любителей посканить и потыкать).
Как бы там ни было, трафик размером в 1 гигабайт и трафик из дебага по 80 порту модема, скорее всего, это разные истории.
В одном случае это "туннель 3074", а во втором массовые коммуникации на 80 порт модема через Публикацию URL...
Сейчас все ок, но вам необходимо понаблюдать за ситуацией с трафиком и если обнаружится странность - дайте знать.
если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Время создания страницы: 0.110 секунд
По работе сайта пишите на vpnki.service@gmail.com.
Copyright ©
2007 - 2024
VPNKI. При использовании материалов сайта vpnki.ru ссылка обязательна.