De afgelopen dagen heb ik op mijn server 'last' van een verhoogde hoeveelheid outbound traffic. Met behulp van google ben ik eens op zoek gegaan waar dit door zou kunnen komen, en heb naar aanleiding hiervan het commando tcpdump uitgevoerd.

Binnen enkele seconden komen er gigantisch veel regels over het scherm, en het valt me op dat er vaak een soortgelijke regel langs komt:

16:02:31.893201 IP kr-lun-133-144-233-83.3.cust.bredband2.com.27960 > ditistelkens.hetzelfdedomein.com.27960: UDP, length 55

Dit domein is een fictief domein omdat het de naam van een Nederlands hostingbedrijf bevat. Ik heb verder niets met dit bedrijf van doen, anders dan dat we waarschijnlijk in hetzelfde netwerk zitten.

Wat houdt dit nu precies in? Houdt dit in dat iemand van dat IP-adres naar ditistelkens.hetzelfdedomein.com probeert te gaan, en vervolgens op wat voor manier dan ook op mijn server terecht komt? Hoe zou dit kunnen komen en belangrijker, wat kan ik eraan doen?

De poort doet denken aan een gameserver. Is kr-lun-133-144-233-83.3.cust.bredband2.com je eigen adres ?

Vraag even aan je provider of hij je in een eigen subnet en vlan plaatst, dan ben je in ieder geval van andere gebruikers hun broadcasts af en weet je zeker dat het verkeer van jou server komt of erop gericht is.

Klinkt als een hack. Zie ook http://seclists.org/incidents/2000/Mar/0291.html. Draait er toevallig een gameserver op die server? :P

@ Hans: nee, dit is niet mijn IP. Ik kan zo nog een lijst geven van letterlijk duizenden IPs die hetzelfde proberen.

@ Swiftway: Ik zal eens informeren.

@ DiedX: Nee, ik draai geen gameserver. De server wordt enkel gebruikt voor webhosting.

Het hostingbedrijf wat ik noemde richt zich wel voornamelijk op de gamemarkt. Waar ik zelf aan zit te denken is dat op de een of andere manier verkeer wat bestemd is voor hun servers, doorgestuurd wordt naar die van mij.

hmmm klinkt my als een redirect van een gameserver voor het downloaden van bv mappen. Je zou eens kunnen kijken of een van je klanten niet space bied voor download.

Groet,

Rob

Het gaat volgens mij om het verkeer dat naar mijn server toegezonden wordt. Ik bezit geen webhostingbedrijf, ik gebruik de server puur voor mijn eigen gebruik. Ik heb niets veranderd en opeens sinds 3 dagen zit ik dus met dit probleem, en wat ik uit de grafieken kan opmaken zit ik met een verhoogde 'outbound traffic'.

Even voor de beeldvorming:

img257.imageshack.us/img257/3517/trafficut8.png

Die blauwe lijn, bytes die naar de server toegezonden worden volgens mij, schiet opeens omhoog 3 dagen geleden.