WouterG
19/06/05, 10:45
Wij hebben sinds vorige week een server in redbus in amsterdam hangen.
De server draait Debian Linux.
Op dit moment geen server software draaien.
Deze server heeft op dit moment 6mbit inkoment dataverkeer, allemaal vanaf dezelfde server die wij helemaal niet kennen.
Hieronder volgt een pakketje:
No. Time Source Destination Protocol Info
32 0.045634 62.212.91.150 84.35.0.35 HTTP HTTP/1.1 200 OK (x-mjpeg)
Frame 32 (284 bytes on wire, 284 bytes captured)
Arrival Time: Jun 19, 2005 10:00:15.113459000
Time delta from previous packet: 0.000024000 seconds
Time since reference or first frame: 0.045634000 seconds
Frame Number: 32
Packet Length: 284 bytes
Capture Length: 284 bytes
Protocols in frame: eth:ip:tcp:http:media
Ethernet II, Src: 00:11:43:e5:95:86, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 00:11:43:e5:95:86 (DellWwPc_e5:95:86)
Type: IP (0x0800)
Internet Protocol, Src Addr: 62.212.91.150 (62.212.91.150), Dst Addr: 84.35.0.35 (84.35.0.35)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 270
Identification: 0xf392 (62354)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x17a7 (correct)
Source: 62.212.91.150 (62.212.91.150)
Destination: 84.35.0.35 (84.35.0.35)
Transmission Control Protocol, Src Port: 8080 (8080), Dst Port: 60632 (60632), Seq: 0, Ack: 0, Len: 230
Source port: 8080 (8080)
Destination port: 60632 (60632)
Sequence number: 0 (relative sequence number)
Next sequence number: 230 (relative sequence number)
Acknowledgement number: 0 (relative ack number)
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17450
Checksum: 0xb5fc (correct)
Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Request Version: HTTP/1.1
Response Code: 200
Date: Sun, 19 Jun 2005 08:00:24 GMT\r\n
Server: Jetty/4.2.x (Windows XP/5.2 x86 java/1.4.1_07)\r\n
Content-Type: x-mjpeg\r\n
Pragma: no-cache\r\n
Cache-Control: no-cache,no-store\r\n
Content-Length: 51893\r\n
\r\n
Media Type: x-mjpeg (20 bytes)
Het ip adres van zowel de afzender van dit pakket als de geadresseerde zijn niet ons ip adres!
Het ipadres van de afzender is geblokkeert door de firewall, iptables en al die pakketjes worden netjes geblokkeerd. Neemt niet weg dat wij die data wel moeten ontvangen.
Ons ip is 82.192.87.128
Wat opvalt is dat het pakketje het dest. mac adres ff:ff:ff:ff:ff:ff meekrijgt, dit lijkt dus een broadcast te zijn.
Ik heb afgelopen week op een rustig moment ons verkeer in de gaten gehouden, dat lag toen in de buurt van 20kbit/sec, zodra ik echt hun site bezocht ging dit fors omhoog. Wij ontvangen dus echt hun verkeer en kunnen dat dan ook sniffen. Ik heb al een mbtje of 30 aan data gesniffed van hun.
Wij hebben al diverse mails gestuurd naar de colocatie van het betreffende ip adres maar geen reactie. Ook de eigenaar van dit ip adres reageert niet.
En onze eigen colocatie zegt er niets aan te kunnen doen.
Wij gaan fors over onze datalimiet heen en zullen dus flink in de buidel moeten tasten aan het eind van de maand :(
Wie kan mij vertellen wat dit probleem veroorzaakt en hoe ik dit het beste op kan lossen.
De server draait Debian Linux.
Op dit moment geen server software draaien.
Deze server heeft op dit moment 6mbit inkoment dataverkeer, allemaal vanaf dezelfde server die wij helemaal niet kennen.
Hieronder volgt een pakketje:
No. Time Source Destination Protocol Info
32 0.045634 62.212.91.150 84.35.0.35 HTTP HTTP/1.1 200 OK (x-mjpeg)
Frame 32 (284 bytes on wire, 284 bytes captured)
Arrival Time: Jun 19, 2005 10:00:15.113459000
Time delta from previous packet: 0.000024000 seconds
Time since reference or first frame: 0.045634000 seconds
Frame Number: 32
Packet Length: 284 bytes
Capture Length: 284 bytes
Protocols in frame: eth:ip:tcp:http:media
Ethernet II, Src: 00:11:43:e5:95:86, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 00:11:43:e5:95:86 (DellWwPc_e5:95:86)
Type: IP (0x0800)
Internet Protocol, Src Addr: 62.212.91.150 (62.212.91.150), Dst Addr: 84.35.0.35 (84.35.0.35)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 270
Identification: 0xf392 (62354)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x17a7 (correct)
Source: 62.212.91.150 (62.212.91.150)
Destination: 84.35.0.35 (84.35.0.35)
Transmission Control Protocol, Src Port: 8080 (8080), Dst Port: 60632 (60632), Seq: 0, Ack: 0, Len: 230
Source port: 8080 (8080)
Destination port: 60632 (60632)
Sequence number: 0 (relative sequence number)
Next sequence number: 230 (relative sequence number)
Acknowledgement number: 0 (relative ack number)
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17450
Checksum: 0xb5fc (correct)
Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Request Version: HTTP/1.1
Response Code: 200
Date: Sun, 19 Jun 2005 08:00:24 GMT\r\n
Server: Jetty/4.2.x (Windows XP/5.2 x86 java/1.4.1_07)\r\n
Content-Type: x-mjpeg\r\n
Pragma: no-cache\r\n
Cache-Control: no-cache,no-store\r\n
Content-Length: 51893\r\n
\r\n
Media Type: x-mjpeg (20 bytes)
Het ip adres van zowel de afzender van dit pakket als de geadresseerde zijn niet ons ip adres!
Het ipadres van de afzender is geblokkeert door de firewall, iptables en al die pakketjes worden netjes geblokkeerd. Neemt niet weg dat wij die data wel moeten ontvangen.
Ons ip is 82.192.87.128
Wat opvalt is dat het pakketje het dest. mac adres ff:ff:ff:ff:ff:ff meekrijgt, dit lijkt dus een broadcast te zijn.
Ik heb afgelopen week op een rustig moment ons verkeer in de gaten gehouden, dat lag toen in de buurt van 20kbit/sec, zodra ik echt hun site bezocht ging dit fors omhoog. Wij ontvangen dus echt hun verkeer en kunnen dat dan ook sniffen. Ik heb al een mbtje of 30 aan data gesniffed van hun.
Wij hebben al diverse mails gestuurd naar de colocatie van het betreffende ip adres maar geen reactie. Ook de eigenaar van dit ip adres reageert niet.
En onze eigen colocatie zegt er niets aan te kunnen doen.
Wij gaan fors over onze datalimiet heen en zullen dus flink in de buidel moeten tasten aan het eind van de maand :(
Wie kan mij vertellen wat dit probleem veroorzaakt en hoe ik dit het beste op kan lossen.