непонятный траффик с Ip 80.81.208.34

[zerkms]

c 21:05 25 декабря ни с того ни с сего начали сыпаться странные пакеты с IP 80.81.208.34
саппорт радуги сказал что это ип шлюза

пример лога фаервола:

23:01:11   SYSTEM   IN    TCP   http://www.d-v.ru   HTTP   1195   Получить нелокальные пакеты
23:01:03   SYSTEM   IN    TCP   80.81.208.34   Daytime   1195   Получить нелокальные пакеты
23:01:03   SYSTEM   IN    TCP   80.81.208.34   12   1195   Получить нелокальные пакеты
23:01:03   SYSTEM   IN    TCP   80.81.208.34   11   1195   Получить нелокальные пакеты
23:01:02   SYSTEM   IN    TCP   80.81.208.34   10   1195   Получить нелокальные пакеты
23:01:02   SYSTEM   IN    TCP   80.81.208.34   Discard   1195   Получить нелокальные пакеты
23:01:02   SYSTEM   IN    TCP   80.81.208.34   8   1195   Получить нелокальные пакеты
23:01:01   SYSTEM   IN    TCP   80.81.208.34   ECHO   1195   Получить нелокальные пакеты
23:01:01   SYSTEM   IN    TCP   80.81.208.34   6   1195   Получить нелокальные пакеты
23:01:01   SYSTEM   IN    TCP   80.81.208.34   4   1195   Получить нелокальные пакеты
23:01:00   SYSTEM   IN    TCP   80.81.208.34   3   1195   Получить нелокальные пакеты
23:01:00   SYSTEM   IN    TCP   80.81.208.34   2   1195   Получить нелокальные пакеты

1195 - это локальный порт, через который браузер (фф) соединялся с этим форумом, а 2,3,4,... - удалённые порты с того IP
замечено что ЛЮБОЕ соединение ЛЮБОГО приложения в ответ порождает кучу пакетов, адресованных локальному порту, с которого устанавливалось соединение

версию с вирусами и троянами на 99% исключаю:
1. при обычном жпрс соединении такого нет (только при коннекте через впн на радугу)
2. переставил с образа виндовс - та же фигня

постоянно запущены и работают касперский и аутпост

ps: пакеты сыпятся со скоростью примерно 10мб/30минут

[zerkms]

что примечательно - в личном кабинете за эти паразитные пакеты деньги сняли честно, по тарифу
2 часа я не сидел и не открывал ничего кроме аськи, этого форума (2х страниц) и формы техподдержки
аналогичные случаи зафиксированы ещё у нескольких человек (как у тех кто сидит через опенвпн, так и спринт)

очень интересно - чья это проблема? если радуги - то будут ли возмещены затраты?

[Oleg Reva]

c 21:05 25 декабря ни с того ни с сего начали сыпаться странные пакеты с IP 80.81.208.34
саппорт радуги сказал что это ип шлюза

пример лога фаервола:

23:01:11 SYSTEM IN  TCP http://www.d-v.ru HTTP 1195 Получить нелокальные пакеты
23:01:03 SYSTEM IN  TCP 80.81.208.34 Daytime 1195 Получить нелокальные пакеты
23:01:03 SYSTEM IN  TCP 80.81.208.34 12 1195 Получить нелокальные пакеты
23:01:03 SYSTEM IN  TCP 80.81.208.34 11 1195 Получить нелокальные пакеты
23:01:02 SYSTEM IN  TCP 80.81.208.34 10 1195 Получить нелокальные пакеты
23:01:02 SYSTEM IN  TCP 80.81.208.34 Discard 1195 Получить нелокальные пакеты
23:01:02 SYSTEM IN  TCP 80.81.208.34 8 1195 Получить нелокальные пакеты
23:01:01 SYSTEM IN  TCP 80.81.208.34 ECHO 1195 Получить нелокальные пакеты
23:01:01 SYSTEM IN  TCP 80.81.208.34 6 1195 Получить нелокальные пакеты
23:01:01 SYSTEM IN  TCP 80.81.208.34 4 1195 Получить нелокальные пакеты
23:01:00 SYSTEM IN  TCP 80.81.208.34 3 1195 Получить нелокальные пакеты
23:01:00 SYSTEM IN  TCP 80.81.208.34 2 1195 Получить нелокальные пакеты

1195 - это локальный порт, через который браузер (фф) соединялся с этим форумом, а 2,3,4,... - удалённые порты с того IP
замечено что ЛЮБОЕ соединение ЛЮБОГО приложения в ответ порождает кучу пакетов, адресованных локальному порту, с которого устанавливалось соединение

версию с вирусами и троянами на 99% исключаю:
1. при обычном жпрс соединении такого нет (только при коннекте через впн на радугу)
2. переставил с образа виндовс - та же фигня

постоянно запущены и работают касперский и аутпост

ps: пакеты сыпятся со скоростью примерно 10мб/30минут

Да IP 80.81.208.34 это наш сервер Ямала. Уточнмте свой логин подписки. Проверьте наличие пакетв при работе через OpenVPN.

[zerkms]

Логин подписки: DpRY200_4356

"Проверьте наличие пакетв при работе через OpenVPN."
;)
пакетов как видите с лихвой. интернет работает но с кучей таких вот странных паразитных пакетов.
соединился только что - теперь поведение почему-то другое

7:05:05   SYSTEM   IN    TCP   http://www.d-v.ru   125   3677   Получить нелокальные пакеты
7:05:04   SYSTEM   IN    TCP   http://www.d-v.ru   NTP   3677   Получить нелокальные пакеты
7:05:04   SYSTEM   IN    TCP   http://www.d-v.ru   124   3677   Получить нелокальные пакеты
7:05:03   SYSTEM   IN    TCP   http://www.d-v.ru   122   3677   Получить нелокальные пакеты
7:05:03   SYSTEM   IN    TCP   http://www.d-v.ru   121   3677   Получить нелокальные пакеты
7:05:02   SYSTEM   IN    TCP   http://www.d-v.ru   120   3677   Получить нелокальные пакеты
7:05:02   SYSTEM   IN    TCP   http://www.d-v.ru   NNTP   3677   Получить нелокальные пакеты
7:05:01   SYSTEM   IN    TCP   http://www.d-v.ru   118   3677   Получить нелокальные пакеты
7:05:01   SYSTEM   IN    TCP   http://www.d-v.ru   UUCP_PATH   3677   Получить нелокальные пакеты
7:05:01   SYSTEM   IN    TCP   http://www.d-v.ru   116   3677   Получить нелокальные пакеты
7:05:00   SYSTEM   IN    TCP   http://www.d-v.ru   115   3677   Получить нелокальные пакеты
7:05:00   SYSTEM   IN    TCP   http://www.d-v.ru   114   3677   Получить нелокальные пакеты

d-v.ru - удалённый адрес, 114-125.. - удалённый порт, 3677 - локальный порт, через который браузер (фф) открыл эту страницу

[zerkms]

приконектился, пока всё хорошо

[zerkms]

собственно подытожить хотелось бы

уважаемый саппорт может ответить - по чьей причине возник этот трафик?
если по причине провайдера - то как можно возместить трафик (40р. мелочь, а приятно) который возник
если по моей причине - то у меня версий нет - почему оно случилось и почему оно резко перестало ;))))

[Oleg Reva]

собственно подытожить хотелось бы

уважаемый саппорт может ответить - по чьей причине возник этот трафик?
если по причине провайдера - то как можно возместить трафик (40р. мелочь, а приятно) который возник
если по моей причине - то у меня версий нет - почему оно случилось и почему оно резко перестало ;))))

После общения с Вами по ICQ перевел подписку на другой IP и PID - проблема исчезла.

[аlVa]

У меня аналогичная проблема.
На подписке Di+Paid Yamal 200 с конца декабря стал пропадать трафик.
Улетучилось около гигабайта скоростного трафика, причем, судя по статистике,
произошло это в то время, когда я вообще не заходил в интернет!
Поскольку были каникулы, и до саппорта не достучаться, с начала января сижу на тихоходном "анлиме". Скорость ниже модемной.
НО!!!!!
Статистика показывает тот же огромный расход трафика!
Например, 2 января с 4 до 5 часа утра (в это время я в интернете не бываю!) расход трафика составил 308 мб!
Что бред, ребятки?
Как вам доверять после этого? За что платить деньги?
И кто возместит убытки???

[rewq]

У меня аналогичная проблема.
На подписке Di+Paid Yamal 200 с конца декабря стал пропадать трафик.
Улетучилось около гигабайта скоростного трафика
Что бред, ребятки?
Как вам доверять после этого? За что платить деньги?
И кто возместит убытки???

Аналогично, вылетело около 500р просто так за эти пакеты, возмещать никто как я понимаю не собирается, не суть важно, надо хотя бы на форуме было предупреждение сделать((((
Пока не исправлял, тперь еще буду думать как это сделать(

[Anthony Chet]

У меня аналогичная проблема.
На подписке Di+Paid Yamal 200 с конца декабря стал пропадать трафик.
Улетучилось около гигабайта скоростного трафика, причем, судя по статистике,
произошло это в то время, когда я вообще не заходил в интернет!

А карта не в promisc режиме стоит? Тогда легко.

[Guybrush]

А карта не в promisc режиме стоит? Тогда легко.

Вот только в статистику он при этом не попал бы

[snakerrr]

Аналогичная радость была + к этому ещё и ооочень низкая скорость. Постучал инжинерам. Поменяли IP и PID всё заработало. Станно как-то э
то всё. Хорошо что фишку с трафиком просёк сразу. После того как во время обеда испарилось 10 Мб трафика, хотя была включена только ася. Причина остаётся неизвестной...

[Серрый]

А у меня фаревол блокирует атаку 14:55:11   NETBIOS   ВХОД БЛОКИРОВАНО    TCP   80.81.208.82   2028   Адрес 80.81.208.82 блокирован, так как обнаружена атака и пока не разблокирует инета нет