Паразитный UDP-трафик

[ilowert]

Суть проблемы
Имеется подключение OpenVPN, реальный IP.
Периодически наблюдается паразитный трафик за который естественно списываются средства с лицевого счета.
Анализ трафика с помощью Wireshark 1.6.4 показал что это есть
UDP-трафик на порт 48742 (также были замечены 49269-49299) , source IP все разные, source port аналогично
Объем трафика сильно варьируется - от 1000 bps до 1 mbps.
Вопрос к представителям Радуги - что сие такое и как победить

[Fastor]

UDP-трафик на порт 48742 (также были замечены 49269-49299) , source IP все разные, source port аналогично
Объем трафика сильно варьируется - от 1000 bps до 1 mbps.
Вопрос к представителям Радуги - что сие такое и как победить

ОС пишите какая конкретно, что установлено из программ обрабатывающих трафик (фаервол, антивирус и т.п.). Что касаемо порта, то порт с таким значением скорей всего локальный, надо смотреть какие соединения выходят c loopback там реальный порт будет.

[ilowert]

ОС пишите какая конкретно, что установлено из программ обрабатывающих трафик (фаервол, антивирус и т.п.). Что касаемо порта, то порт с таким значением скорей всего локальный, надо смотреть какие соединения выходят c loopback там реальный порт будет.

В том-то и дело, что нет локальной точки терминации для этого трафика. Никаких слушающих этот порт процессов в системе нет.
Сейчас, правда, и трафик отсутствует, но надолго ли.

[Fastor]

В том-то и дело, что нет локальной точки терминации для этого трафика. Никаких слушающих этот порт процессов в системе нет.
Сейчас, правда, и трафик отсутствует, но надолго ли.

В любой системе есть loopback 127.0.0.1 <=> адрес компа в сети. Порты с такой большой нумерацией обычно локальные. К примеру у меня джаббер клиент покдлючен по порту 57413 (tcp        0      0 192.168.1.2:57413       agama.yande:xmpp-client ESTABLISHED 27527/wish), хотя реальный внешний порт 5222.