[debian] te veel icmp en udp traffic - Privacy en beveiliging

dinsdag 6 april 2004 10:27

Acties:

Topicstarter

Ik heb een Debian server draaien met daarop services als apache,samba,postfix,ssh,telnet the whole thing om een webserver te draaien dus. Nu is het probleem dat ik sinds een tijdje een enorme vertraging ondervind in mijn netwerk. Wat blijkt nu. Mijn server verstuurd en ontvangt een enorme hoeveelheid udp packets. Ik wil weten waarom en hoe ik dit kan tegen houden..
Ik heb met tcpdump een dump gemaakt maar deze is niet volledig. die van iptraf echter wel. Hieronder de logfile. Ik hoop dat iemand hier een oplossing voor weet. Ik heb al portsentry erop staan maar die helpt hier 'nog' niet tegen.

code:

fs-debian:~# tail -n40 /var/log/iptraf/ip_traffic-1.log
11:25:25; UDP;  47  bytes; from 69.40.141.143:10654 to firescape.nl:2380
11:25:25; ICMP; 75  bytes; from firescape.nl to 69.40.141.143; dest unrch (port)
11:25:25; UDP;  72  bytes; from firescape.nl:51627 to ns1.wxs.nl:domain
11:25:25; UDP;  71  bytes; from ns1.rott.upc.nl:domain to firescape.nl:51625
11:25:25; UDP;  71  bytes; from firescape.nl:51628 to ns1.wxs.nl:domain
11:25:25; UDP;  71  bytes; from ns1.wxs.nl:domain to firescape.nl:51628
11:25:25; UDP;  71  bytes; from firescape.nl:51628 to ns2.wxs.nl:domain
11:25:25; UDP;  114 bytes; from ns1.wxs.nl:domain to firescape.nl:51627
11:25:25; UDP;  47  bytes; from ACCE3958.ipt.aol.com:11363 to firescape.nl:2380
11:25:25; ICMP; 75  bytes; from firescape.nl to ACCE3958.ipt.aol.com; dest unrch (port)
11:25:25; UDP;  47  bytes; from 198.165.88.43:3207 to firescape.nl:2380
11:25:25; ICMP; 75  bytes; from firescape.nl to 198.165.88.43; dest unrch (port)
11:25:25; UDP;  72  bytes; from firescape.nl:51629 to ns1.wxs.nl:domain
11:25:25; UDP;  116 bytes; from ns1.wxs.nl:domain to firescape.nl:51626
11:25:25; UDP;  71  bytes; from ns2.wxs.nl:domain to firescape.nl:51628
11:25:25; UDP;  71  bytes; from firescape.nl:51630 to ns1.rott.upc.nl:domain
11:25:25; UDP;  47  bytes; from 82.224.105.61:3830 to firescape.nl:2380
11:25:25; ICMP; 75  bytes; from firescape.nl to 82.224.105.61; dest unrch (port)
11:25:25; UDP;  72  bytes; from firescape.nl:51631 to ns1.wxs.nl:domain
11:25:25; UDP;  71  bytes; from ns1.rott.upc.nl:domain to firescape.nl:51630
11:25:25; UDP;  100 bytes; from ns1.wxs.nl:domain to firescape.nl:51629
11:25:26; UDP;  125 bytes; from ns1.wxs.nl:domain to firescape.nl:51631
11:25:26; UDP;  47  bytes; from 24.84.227.23:3415 to firescape.nl:2380
11:25:26; ICMP; 75  bytes; from firescape.nl to 24.84.227.23; dest unrch (port)
11:25:26; UDP;  71  bytes; from firescape.nl:51631 to ns1.wxs.nl:domain
11:25:26; UDP;  119 bytes; from ns1.wxs.nl:domain to firescape.nl:51631
11:25:26; UDP;  47  bytes; from 61.39.193.251:4811 to firescape.nl:2380
11:25:26; ICMP; 75  bytes; from firescape.nl to 61.39.193.251; dest unrch (port)
11:25:26; UDP;  72  bytes; from firescape.nl:51631 to ns1.wxs.nl:domain
11:25:27; UDP;  47  bytes; from 82.65.115.86:www to firescape.nl:2380
11:25:27; ICMP; 75  bytes; from firescape.nl to 82.65.115.86; dest unrch (port)
11:25:27; UDP;  71  bytes; from firescape.nl:51632 to ns1.wxs.nl:domain
11:25:27; UDP;  124 bytes; from ns1.wxs.nl:domain to firescape.nl:51632
11:25:27; UDP;  53  bytes; from 217.187.193.38:11367 to firescape.nl:2380
11:25:27; ICMP; eth0; 81 bytes; from firescape.nl to 217.187.193.38; dest unrch (port)
11:25:27; UDP; eth0; 73 bytes; from firescape.nl:51632 to ns1.wxs.nl:domain
11:25:27; UDP; eth0; 119 bytes; from ns1.wxs.nl:domain to firescape.nl:51632
11:25:27; ******** IP traffic monitor stopped ********

[ Voor 13% gewijzigd door Daniel304 op 06-04-2004 10:31 ]

dinsdag 6 april 2004 10:30

Acties:

Verwijderd

-> Beveiliging & Virussen

dinsdag 6 april 2004 10:30

Acties:

Arnout

Wat je hier toont lijkt me niet voldoende verkeer om merkbare vertraging te kunnen opleveren.
Verder is het veel DNS verkeer, naar verscheidene DNS servers. DNS config juist? Gebruik je de machine ook als NAT gateway?
Verder: wat is poort 2380?

dinsdag 6 april 2004 10:33

Acties:

Daniel304

Topicstarter

Het valt nu wel weer even mee.. ongeveer 100 packets/s echter er zijn ook momenten van 2 a 300 p/s dan wordt het minder leuk. Ik gebruik hem niet als nat gateway... Mijn router is wel een nat gateway en die router stuurd alles wat binnenkomt naar de server.

Wat die poort betreft geen idee ik heb daar voorzover ik weet niets op draaien

[ Voor 14% gewijzigd door Daniel304 op 06-04-2004 10:33 ]

dinsdag 6 april 2004 10:36

Acties:

Arnout

Daniel304 schreef op 06 april 2004 @ 10:33:
Wat die poort betreft geen idee ik heb daar voorzover ik weet niets op draaien

Da's raar natuurlijk. 2380 is een unassigned poort (=niet voor een speciale applicatie/doel).

dinsdag 6 april 2004 10:37

Acties:

rollebol

Je zal het vast zelf ook al bedacht hebben, maar is het niet gewoon een peer-to-peer-programma dat op een van de NAT-clients draait?

dinsdag 6 april 2004 10:38

Acties:

elevator

Officieel moto fan :)

Inderdaad erg veel DNS traffic - heb je toevallig een website waarbij je DNS lookups aan hebt staan in je logs? Draai je regelmatig web/ftp statistics die veel DNS lookups doen?

dinsdag 6 april 2004 10:39

Acties:

Daniel304

Topicstarter

Ik heb alleen emule draaien op 1 client maar die heeft zijn poorten rond de 4000 en 4661,2,3. Daarnaast mijn clients zouden geen gebruik mogen maken van de server voor zulke doeleinden.

Elevator nu zeg je me inderdaad wat.... volgens mij heb ik of in de apache of in de proftpd iets zien staan hierover.. Ik ga eens kijken.... volgens mij was het apache.

Helaas:

code:

fs-debian:~# cat /etc/apache/httpd.conf | grep Hostname
HostnameLookups Off

fs-debian:~# cat /etc/proftpd.conf | grep Lookups
IdentLookups                    off

fs-debian:~# cat /etc/proftpd.conf | grep DNS
UseReverseDNS                   off

verder geen statistieken

[ Voor 64% gewijzigd door Daniel304 op 06-04-2004 10:46 ]

dinsdag 6 april 2004 10:48

Acties:

Arnout

Sjah, dat is het natuurlijk. Emule.

Je server is dus "default server" in je speedtouch. Emule verzend veel UDP/ICMP als onderdeel van het protocol. Je server antwoord keurig met een ICMP dest unreachable.

Sorry hoor maar dit is wel erg basic.

dinsdag 6 april 2004 10:50

Acties:

Daniel304

Topicstarter

Het lijkt er trouwens erg veel op dat hij zijn eigen hostname probeert te resolven ergens. dit kan niet aangezien de server een request via de router stuurt en van de DNS krijgt hij als antwoord dat de router zelf die hostname heeft...

dinsdag 6 april 2004 10:51

Acties:

Daniel304

Topicstarter

MetHod schreef op 06 april 2004 @ 10:48:
Sjah, dat is het natuurlijk. Emule.
Je server is dus "default server" in je speedtouch. Emule verzend veel UDP/ICMP als onderdeel van het protocol. Je server antwoord keurig met een ICMP dest unreachable.

Sorry hoor maar dit is wel erg basic.

uhmm ja grappig maar de udp poorten van emule heb ik ook doorgegooid naar mijn client... zodat dat niet zou mogen gebeuren

dinsdag 6 april 2004 10:53

Acties:

Daniel304

Topicstarter

Heb maar ff met portsentry poort 2380 geblocked en het lijkt te werken.

Ook beide NamServers van wxs.nl scheelde ook weer heel veel

[ Voor 211% gewijzigd door Daniel304 op 06-04-2004 11:59 ]

dinsdag 6 april 2004 12:17

Acties:

deadinspace

The what goes where now?

Daniel304 schreef op 06 april 2004 @ 10:53:
Heb maar ff met portsentry poort 2380 geblocked en het lijkt te werken.

Daar schiet je dus bijzonder weinig mee op he... Of portsentry die packets nou tegenhoudt, of dat ze gewoon op een gesloten poort stuiten waarna de kernel antwoordt met een ICMP port unreachable, het effect is hetzelfde.

Pagina: 1

Reageer