PDA

Bekijk Volledige Versie : Ongewenst inkomend dataverkeer


WouterG
19/06/05, 10:45
Wij hebben sinds vorige week een server in redbus in amsterdam hangen.
De server draait Debian Linux.
Op dit moment geen server software draaien.

Deze server heeft op dit moment 6mbit inkoment dataverkeer, allemaal vanaf dezelfde server die wij helemaal niet kennen.

Hieronder volgt een pakketje:



No. Time Source Destination Protocol Info
32 0.045634 62.212.91.150 84.35.0.35 HTTP HTTP/1.1 200 OK (x-mjpeg)

Frame 32 (284 bytes on wire, 284 bytes captured)
Arrival Time: Jun 19, 2005 10:00:15.113459000
Time delta from previous packet: 0.000024000 seconds
Time since reference or first frame: 0.045634000 seconds
Frame Number: 32
Packet Length: 284 bytes
Capture Length: 284 bytes
Protocols in frame: eth:ip:tcp:http:media
Ethernet II, Src: 00:11:43:e5:95:86, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 00:11:43:e5:95:86 (DellWwPc_e5:95:86)
Type: IP (0x0800)
Internet Protocol, Src Addr: 62.212.91.150 (62.212.91.150), Dst Addr: 84.35.0.35 (84.35.0.35)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 270
Identification: 0xf392 (62354)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x17a7 (correct)
Source: 62.212.91.150 (62.212.91.150)
Destination: 84.35.0.35 (84.35.0.35)
Transmission Control Protocol, Src Port: 8080 (8080), Dst Port: 60632 (60632), Seq: 0, Ack: 0, Len: 230
Source port: 8080 (8080)
Destination port: 60632 (60632)
Sequence number: 0 (relative sequence number)
Next sequence number: 230 (relative sequence number)
Acknowledgement number: 0 (relative ack number)
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17450
Checksum: 0xb5fc (correct)
Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Request Version: HTTP/1.1
Response Code: 200
Date: Sun, 19 Jun 2005 08:00:24 GMT\r\n
Server: Jetty/4.2.x (Windows XP/5.2 x86 java/1.4.1_07)\r\n
Content-Type: x-mjpeg\r\n
Pragma: no-cache\r\n
Cache-Control: no-cache,no-store\r\n
Content-Length: 51893\r\n
\r\n
Media Type: x-mjpeg (20 bytes)


Het ip adres van zowel de afzender van dit pakket als de geadresseerde zijn niet ons ip adres!

Het ipadres van de afzender is geblokkeert door de firewall, iptables en al die pakketjes worden netjes geblokkeerd. Neemt niet weg dat wij die data wel moeten ontvangen.

Ons ip is 82.192.87.128

Wat opvalt is dat het pakketje het dest. mac adres ff:ff:ff:ff:ff:ff meekrijgt, dit lijkt dus een broadcast te zijn.

Ik heb afgelopen week op een rustig moment ons verkeer in de gaten gehouden, dat lag toen in de buurt van 20kbit/sec, zodra ik echt hun site bezocht ging dit fors omhoog. Wij ontvangen dus echt hun verkeer en kunnen dat dan ook sniffen. Ik heb al een mbtje of 30 aan data gesniffed van hun.

Wij hebben al diverse mails gestuurd naar de colocatie van het betreffende ip adres maar geen reactie. Ook de eigenaar van dit ip adres reageert niet.
En onze eigen colocatie zegt er niets aan te kunnen doen.

Wij gaan fors over onze datalimiet heen en zullen dus flink in de buidel moeten tasten aan het eind van de maand :(

Wie kan mij vertellen wat dit probleem veroorzaakt en hoe ik dit het beste op kan lossen.
s2software
19/06/05, 10:53
Moet je ff met iemand van Leaseweb gaat praten erover, of met de eigenaar van het IP.
Je komt er snel genoeg achter wie dat is, door even de rDNS entries te bekijken van naburige IP's.

Eventueel zou je al het verkeer van dat IP kunnen laten droppen, of dat IP laten nullrouten door je coloboer.
shuyg
19/06/05, 11:04
Zowel de bron ip als jullie ip zijn van Leaseweb. Dus als de bron ip inderdaad deze data als broadcast verkeer verstuurt zijn jullie niet de enige met een probleem.

In ieder geval kan naast de bron alleen Leaseweb jullie verder helpen. Bijvoorbeeld door of jullie of de bron in een ander vlan te zetten.
Mikey
19/06/05, 11:24
Dus als ik het goed begrijp is de souce en dest niet jullie adres ? Iemand aan het spelen met reflection oid ?
Mikey
19/06/05, 11:27
Origineel geplaatst door s2software
Moet je ff met iemand van Leaseweb gaat praten erover, of met de eigenaar van het IP.
Je komt er snel genoeg achter wie dat is, door even de rDNS entries te bekijken van naburige IP's.

Eventueel zou je al het verkeer van dat IP kunnen laten droppen, of dat IP laten nullrouten door je coloboer.

62.212.91.140 ---> 62.212.91.140
62.212.91.141 ---> 62.212.91.141
62.212.91.142 ---> 62.212.91.142
62.212.91.143 ---> 62.212.91.143
62.212.91.144 ---> 62.212.91.144
62.212.91.145 ---> 62.212.91.145
62.212.91.146 ---> 62.212.91.146
62.212.91.147 ---> 62.212.91.147
62.212.91.148 ---> 62.212.91.148
62.212.91.149 ---> 62.212.91.149
62.212.91.150 ---> 62.212.91.150
62.212.91.151 ---> 62.212.91.151
62.212.91.152 ---> 62.212.91.152
62.212.91.153 ---> 62.212.91.153
62.212.91.154 ---> 62.212.91.154
62.212.91.155 ---> 62.212.91.155
62.212.91.156 ---> 62.212.91.156
62.212.91.157 ---> 62.212.91.157
62.212.91.158 ---> 62.212.91.158
62.212.91.159 ---> 62.212.91.159
62.212.91.160 ---> 62.212.91.160
WouterG
19/06/05, 11:28
Origineel geplaatst door Mikey
Dus als ik het goed begrijp is de souce en dest niet jullie adres ? Iemand aan het spelen met reflection oid ?
Bedankt voor jullie snelle reacties allemaal!

Het source en dest. adres is inderdaad niet van ons. Leaseweb reageert niet op een mailtje dat ik gisteren naar abuse@leaseweb.nl gestuurd heb. Ik heb nu een mailtje naar support@leaseweb.nl gestuurd.

Het inkomende verkeer zit momenteel boven de 10mbit/sec :(

http://82.192.87.128/apps/SystemStats2/grapher.php?host=localhost&type=poll&id=13
Mikey
19/06/05, 11:30
Ben benieuwd hoe snel erop support gereageerd wordt, mijn laatste support mail ging ook over verhoogd inkomend verkeer en werd dagen later pas beantwoord met als antwoord dat er op dat moment niks te zien was. Als er wat eerder gekeken was hadden ze het wel kunnen zien.
WouterG
19/06/05, 12:14
Het is een server die filmbeelden verspreid over een wielerevenement in eindhoven.

En dat evenement is vandaag. Gaat dus een enorme hoeveelheid data kosten.

Zijn er juridische mogelijkheden om onze kosten op hen te verhalen?

Ik heb al een mailtje gestuurd met de eis dat hun server per direct gerepareerd word of offline gehaald word.
Triloxigen
19/06/05, 12:32
Origineel geplaatst door WouterG

Bedankt voor jullie snelle reacties allemaal!

Het source en dest. adres is inderdaad niet van ons. Leaseweb reageert niet op een mailtje dat ik gisteren naar abuse@leaseweb.nl gestuurd heb. Ik heb nu een mailtje naar support@leaseweb.nl gestuurd.

Het inkomende verkeer zit momenteel boven de 10mbit/sec :(

http://82.192.87.128/apps/SystemStats2/grapher.php?host=localhost&type=poll&id=13

Geef ze op een zondag avond ook enige rust :p
blaaat
19/06/05, 13:09
Origineel geplaatst door WouterG
Het is een server die filmbeelden verspreid over een wielerevenement in eindhoven.

En dat evenement is vandaag. Gaat dus een enorme hoeveelheid data kosten.

Zijn er juridische mogelijkheden om onze kosten op hen te verhalen?

Ik heb al een mailtje gestuurd met de eis dat hun server per direct gerepareerd word of offline gehaald word.

misschien niet echt een oplossing maar toch:


Als er op jouw server toch geen software draaid, waarom haal je jouw server dan niet gewoon offline voor vandaag?
WouterG
19/06/05, 13:13
Origineel geplaatst door blaaat


misschien niet echt een oplossing maar toch:


Als er op jouw server toch geen software draaid, waarom haal je jouw server dan niet gewoon offline voor vandaag?
Ik heb de server nu uitgezet maar de switch van onze coloboer telt gewoon vrolijk verder. Alleen maar binnenkomend verkeer nu.
Server is niet meer te pingen maar de netwerkkaart zal waarschijnlijk wel actief blijven om bv. wake on lan te laten werken.

Het was de planning om vanavond weer te kunnen spelen (gameserver)

Hij zal om 18:00 automatisch weer starten, dat hebben we aangegeven in het bios. Hopen dat dat werkt.

We zitten trouwens al bijna aan onze datalimiet :(
Markuz
19/06/05, 13:36
zelfde probleem hier, c.a. 14 mbit inkomend verkeer op alle servers.
wdv
19/06/05, 13:51
Origineel geplaatst door WouterG
We zitten trouwens al bijna aan onze datalimiet :(

Voorzover ik weet houdt LeaseWeb netjes rekening met broadcasting verkeer.
WouterG
19/06/05, 13:59
Kreeg net een telefoontje van onze coloboer, probleem is nu in behandeling en verkeer word inderdaad niet meegeteld.

Al hun klanten hadden er momenteel last van.

Hartelijk bedankt voor jullie hulp!
sju
19/06/05, 14:11
Idd hier ook hetzelfde probleem. Inmiddels 16Mbit inkomend
sju
19/06/05, 14:50
Het is bij ons inmiddels gefixt
WouterG
19/06/05, 14:54
Bij ons nu ook ja.

En wat wel netjes is dat ik deze maand geen problemen krijg met het dataverkeer. Moet natuurlijk geen dikke ftp op gaan zetten ofzo ;)

Ben weer blij en ga nu van het weer genieten
Nautronix
24/06/05, 23:41
Wij (E-Dentify), zitten ook in de 62.212.91.x range (t/m 64) Zal eens kijken of wij hier ook last van hebben gehad...