Авторизация

Странная активность

Подробнее
6 года 2 мес. назад - 6 года 2 мес. назад #7 от C8R
C8R ответил в теме Странная активность
1. Не могу прокоментировать
2. Аналогично
3. Роутер работает месяц. Настолько активную скорость передачи заметил только сегодня, что было до этого момента - не известно
4. Набросал примерную топологию:

5. При анализе сетевых пакетов пришлось перезагрузить роутер, т.е. сейчас новая сессия
6.

user3131 - роутер, про который идёт речь, с 11.01.18, отправлено ~1.5Гб

7. Не могу прокоментировать
Вложения:
Последнее редактирование: 6 года 2 мес. назад пользователем C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
6 года 2 мес. назад #8 от admin
admin ответил в теме Странная активность
1. Судя по статистике vpnki, очень похоже, что трафик от туннеля 3031 ходил в туннель 3074 (самые нижние две строки). Там есть разница в ~50 мегабайт, но порядок цифр похож.
Следующие две строки снизу тоже показывают, что трафик из 3031, скорее всего, ходил в 3074 и тоже есть разница около 150 мегабайт.
Это составляет бОльшую часть трафика. Вы знаете что это за трафик? Получатель 3074, как 3031 тоже висел в онлайне весьма долго.

2. Сейчас сессии ваших туннелей висят около 10 часов. Трафика на интерфейсах почти нет. То есть эта ситуация не воспроизводится. Возможно после перезагрузки?

ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:20255 errors:0 dropped:0 overruns:0 frame:0
TX packets:20897 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:24279212 (24.2 MB) TX bytes:4017966 (4.0 MB)

ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0 B) TX bytes:374 (374.0 B)

3. Мне не понятна разница в суммах трафика по вашим интерфейсам из п.1 (50 + 150 мегабайт). Это весьма приличные цифры, которые не бьются в статистике. Куда делся этот трафик я не понимаю, возможно у вас активны Публикация URL или доступ через прокси и т.д. Тогда часть трафика уйдет в другие интерфейсы (не ppp) и не будет отражена в этой статистике подключений.

4. По поводу USB модема. Скорее всего, адрес 192.168.8.1 это адрес не модема, а адрес маршрутизатора провайдера, которы выдал на ваш маршрутизатор адрес 192.168.8.100
Если так, то скрин с вашего анализатора трафика становится чуть более ясным. В нижней части экрана идут адреса между реально которыми установлен туннель. 192.168.8.100 и 93.232.49.4
То, что показывается в верхней части окна это уже адреса внутри туннеля - 172.16.0.1 и 192.168.3.1 .... ох уж этот Zyxel

Вероятнее всего, снятый кусок дебага показывает подтверждение от веб-интерфейса модема в сторону сервера vpnki о состоянии (там есть в расшифровке <uptime>335</up time>)
Так как получателем является сервер vpnki - 172.16.0.1, а не другой ваш туннель, то скорее всего это обращения через Публикацию URL на имя "om...." - именно под ним выставлен 80 порт вашего модема.
Может быть это открытая страница в вашем браузере в интернет (ну или не вашем, а всяких любителей посканить и потыкать).

Как бы там ни было, трафик размером в 1 гигабайт и трафик из дебага по 80 порту модема, скорее всего, это разные истории.
В одном случае это "туннель 3074", а во втором массовые коммуникации на 80 порт модема через Публикацию URL...

Сейчас все ок, но вам необходимо понаблюдать за ситуацией с трафиком и если обнаружится странность - дайте знать.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
6 года 2 мес. назад #9 от C8R
C8R ответил в теме Странная активность
1. Получатель 3074 это тоже роутер, 3031 и 3074 всегда онлайн - на них висит видеонаблюдение.
То, что замечена такая зависимость, что трафик из 3031 шёл в 3074 - возможно, компьютер был в сети роутера 3074, отюда и трафик: я мониторил удаленый роутер и делал скрины из монитора трафика, также в браузере была открыта админка удаленого роутера (это я про 80й порт и <uptime>335</up time> из п.4). Но порядок цифр настораживает.

2. Эти два тунеля висят активными всегда, но трафик должен идти только пары минут в день, когда я захожу на камеры.

3. На 3031 в его админку я захожу по опубликованному URL, это может повлиять на разницу в трафиках?

4. По адресам - может быть и так.
Про трафик размером в 1 гигабайт : с дебагом разобрались, тут всё так, а вот куда уходят гигабайты - не ясно, буду наблюдать. За вчерашний день по статистике роутера было отправлено 39мб, что логично. Но пару раз бывало по 5-10 гигов, вот это настораживает, вчера я как раз зашел в админку, увидел аплоад на скорости 500кбит/с и задумался.

P/s: Есть подозрение, что комп ребутнулся и на нём запустилась служба софта для видеонаблюдения, что могло вызвать трафик из одного туннеля в другой. НО: комп не был подключён через pptp, он просто был в сети роутера 3074 (на нём поднят тунель, он клиент), в таком случае будет ли линк ( видеорег->роутер->роутер->ПК )?

Спасибо. Буду мониторить.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
6 года 2 мес. назад #10 от admin
admin ответил в теме Странная активность
По п.3. Да на разницу в трафике мог повлиять трафик из Публикации URL, вопрос откуда там такие цифры? (в 50 или 150 мегабайт). Если там просто открыта админка рутера, то мы с вами видели, что статус uptime там передается два-три раза в секунду. Сам пакет с этим статусом занимает 1,4 кБайта. За час это составит 1,4 *2 *60 *60 = около 10 мегабайт. Если у вам было открыто окно в браузере со статусом рутера в течение нескольких часов, то 50 мегабайт легко уйдут за 4-5 часов. Соответственно 150 мегабайт за 15 часов. Открытую вкладку в браузере легко оставить в таком состоянии и на больший срок.

По п.4. Нужно смотреть. То, что трафик измеряется в гигабатах в течение дня это, скорее всего, видео поток.

По PS. Нет, в описанном вами случае трафика через VPNKI быть не должно.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
6 года 2 мес. назад #11 от C8R
C8R ответил в теме Странная активность
Сейчас зашел в админку, проверил исходящий трафик - все ОК. Ребутнул ПК, но котором установлен софт для наблюдения, проверил что служба этого софта запустилась и сразу в админке пошла статистика по трафику - тот же порядок цифр ~500кбит.
Т.е. этот трафик инициирует мой комп, верней служба, в первый раз я упустил её из виду.

Вопрос: ПК перезагрузился, к pptp не подключён, как он инициирует трафик на удаленном устройстве?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
6 года 2 мес. назад #12 от admin
admin ответил в теме Странная активность
Хотя я, наверное, не прав. Если две сети (за двумя рутерами) объединены в одну через vpnki и тот самый удаленный компьютер может пинговать видеорегистратор, то, конечно, он сможет запрашивать и поток с регистратора. То, что на нем самом не поднят туннель - это не важно, важно что он находится в единой сети, образованной двумя рутерами.
Попробуйте сделать пинг с этого ПК до регистратора.
А вот уж что он там делает при старте службы я не подскажу.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Время создания страницы: 0.107 секунд