Eerst een verhaaltje vooraf
Vorige week hebben wij een gameserver in een colo in red-bus geplaatst. De server draait op Debian Testing en hij is nu ingericht als Enemy Territory server. Tevens draait er apache op met mysql en php.
Nu draait hij een week of twee en zijn wij erachter gekomen dat hij veel te veel data verplaatst. Veel van deze data is vreemd verkeer vanaf een voor ons onbekend ip. Zelfs als het server programma uit is gezet en er verder geen server software meer draait (ssh uitgezonderd).
Deze data is gericht aan allemaal verschillende ip's, iig niet aan "ons" ip. Wat opvalt is dat het MAC adres ff:ff:ff:ff:ff:ff is. Na wat zoeken op internet erachter gekomen dat dat een broadcast mac adres is.
Al deze vreemde data word door de kernel gedropt. Hieronder een screenshot van een paar willekeurige pakketjes van een sniffer die even heeft gedraait tijdens zo'n vreemde piek:

Excuses voor de grootte, ik kon zo snel geen andere manier vinden.
Wat ik tot nu toe heb gedaan:
-Gemaild met mijn coloboer, die zegt het ip niet te kennen en gaf me de tip om het ip te blokkeren.
-Dit had ik inmiddels gedaan maar dat maakt niet uit voor het inkomende verkeer.
-Gezocht naar een mailadres van het betreffende ip, heb uitgevonden dat er een website achter zit maar nog geen mailadres.
-Mijn spaarpot omgekeerd om de coloboer te gaan betalen voor het dataverkeer.
Op de volgende link zie je het dataverkeer van onze server, de gameserver is alleen 's avonds van 19:00 tot 24:00 actief
http://82.192.87.128/apps...localhost&type=poll&id=13
Edit:
Ben erachter gekomen dat als ik de website behorende bij het ip bezoek, dat dan het inkomende dataverkeer op onze server omhoog schiet. Er draait namelijk een webcam op die site en die lijkt van invloed te zijn op ons ip
Vorige week hebben wij een gameserver in een colo in red-bus geplaatst. De server draait op Debian Testing en hij is nu ingericht als Enemy Territory server. Tevens draait er apache op met mysql en php.
Nu draait hij een week of twee en zijn wij erachter gekomen dat hij veel te veel data verplaatst. Veel van deze data is vreemd verkeer vanaf een voor ons onbekend ip. Zelfs als het server programma uit is gezet en er verder geen server software meer draait (ssh uitgezonderd).
Deze data is gericht aan allemaal verschillende ip's, iig niet aan "ons" ip. Wat opvalt is dat het MAC adres ff:ff:ff:ff:ff:ff is. Na wat zoeken op internet erachter gekomen dat dat een broadcast mac adres is.
Al deze vreemde data word door de kernel gedropt. Hieronder een screenshot van een paar willekeurige pakketjes van een sniffer die even heeft gedraait tijdens zo'n vreemde piek:

Excuses voor de grootte, ik kon zo snel geen andere manier vinden.
Wat ik tot nu toe heb gedaan:
-Gemaild met mijn coloboer, die zegt het ip niet te kennen en gaf me de tip om het ip te blokkeren.
-Dit had ik inmiddels gedaan maar dat maakt niet uit voor het inkomende verkeer.
-Gezocht naar een mailadres van het betreffende ip, heb uitgevonden dat er een website achter zit maar nog geen mailadres.
-Mijn spaarpot omgekeerd om de coloboer te gaan betalen voor het dataverkeer.
Op de volgende link zie je het dataverkeer van onze server, de gameserver is alleen 's avonds van 19:00 tot 24:00 actief
http://82.192.87.128/apps...localhost&type=poll&id=13
Edit:
Ben erachter gekomen dat als ik de website behorende bij het ip bezoek, dat dan het inkomende dataverkeer op onze server omhoog schiet. Er draait namelijk een webcam op die site en die lijkt van invloed te zijn op ons ip
[ Voor 16% gewijzigd door WouterG op 17-06-2005 23:51 ]