Petr Didenko (kippie) wrote,
Petr Didenko
kippie

Может быть тут есть у кого-то идеи. Есть raw netflow log. В нем видим такое:

src_port=1984 dst_port=5445 proto=6 byte_cnt=1238
src_port=1985 dst_port=5445 proto=6 byte_cnt=15441916
src_port=1986 dst_port=5445 proto=6 byte_cnt=15439604
src_port=1987 dst_port=5445 proto=6 byte_cnt=15439604
src_port=1989 dst_port=5445 proto=6 byte_cnt=15439564
src_port=1991 dst_port=5445 proto=6 byte_cnt=15441348
src_port=1993 dst_port=5445 proto=6 byte_cnt=15441348
src_port=1994 dst_port=5445 proto=6 byte_cnt=15441348
src_port=1996 dst_port=5445 proto=6 byte_cnt=15439564
src_port=1999 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2000 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2001 dst_port=5445 proto=6 byte_cnt=15439604
src_port=2005 dst_port=5445 proto=6 byte_cnt=15439604
src_port=2006 dst_port=5445 proto=6 byte_cnt=9207868
src_port=2010 dst_port=5445 proto=6 byte_cnt=6231860
src_port=2013 dst_port=5445 proto=6 byte_cnt=15441348
src_port=2014 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2015 dst_port=5445 proto=6 byte_cnt=15444348
src_port=2017 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2019 dst_port=5445 proto=6 byte_cnt=15441064
src_port=2020 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2022 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2024 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2025 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2026 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2027 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2030 dst_port=5445 proto=6 byte_cnt=15445320
src_port=2031 dst_port=5445 proto=6 byte_cnt=15439604
src_port=2033 dst_port=5445 proto=6 byte_cnt=15441632
src_port=2034 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2036 dst_port=5445 proto=6 byte_cnt=15446172
src_port=2038 dst_port=5445 proto=6 byte_cnt=15439888
src_port=2039 dst_port=5445 proto=6 byte_cnt=15442200
src_port=2040 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2043 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2045 dst_port=5445 proto=6 byte_cnt=15440132
src_port=2046 dst_port=5445 proto=6 byte_cnt=15439848
src_port=2048 dst_port=5445 proto=6 byte_cnt=15439888
src_port=2050 dst_port=5445 proto=6 byte_cnt=15440172
src_port=2051 dst_port=5445 proto=6 byte_cnt=15444104
src_port=2053 dst_port=5445 proto=6 byte_cnt=15440172
src_port=2056 dst_port=5445 proto=6 byte_cnt=15439564
src_port=2058 dst_port=5445 proto=6 byte_cnt=15439888
src_port=2059 dst_port=5445 proto=6 byte_cnt=15439848
src_port=2060 dst_port=5445 proto=6 byte_cnt=868920
src_port=2061 dst_port=5445 proto=6 byte_cnt=3255


Source - windows box, destination - windows box с IIS5. То, что выше, как видите, происходит последовательно в течение какого-то довольно короткого времени. Понятно, как приходит 30 flow, статистика сбрасывается и получаются эти 15мбайт. То есть, велика вероятность того, что идет флуд на пределе емкости канала (10 мбит у клиента, а на той стороне - не знаю, это за границей, но до туда 35мс). Ок, я пытаюсь понять - что это: флуд или какой-то осмысленный data transfer. Обратите внимание на маленькие пакеты в начале и в конце. Еще есть вот это, но вряд ли все так тупо, да нет у клиента FP EX вроде бы.

Есть идеи что могло бы спровоцировать такой трафик? Система 5.00.2195 Service Pack 2 и все. Никакие порты кроме 80 не слушаются - закрыты firewall'ом на самой машине.
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 9 comments