 Автор |
Сообщение |
Timonok
Эксперт
 |
|
Всем здрасьте. Я не особо силен в вопросе, поэтому задаю вопрос тут, вдруг кто что скажет полезное. С недавних пор ради эксперимента я накатил на raspberry pi - raspbian lite с pihole (эдакий локальный днс сервер с блокировкой рекламы и прочей следящей телеметрии). И выставил малинку в качестве dns сервера по умолчанию на gpon терминале от Ростелекома. Pihole имеет очень удобный веб интерфейс, который позволяет смотреть статистику за день.
Так вот, я начал замечать, что кто-то в сети генерирует огромное количество обращений (по 200-400 за день) на различные околоправительствинные сайты разных стран (что-то связанное с эмигрантами, учебными заведениями, налогами и т.д), и что самое интересное на paypal - при том, что я им не пользуюсь. Т.к. шлюз по умолчанию у меня в сети тот самый терминал, то и в строке ip адреса естественно во всех обращениях фигурирует этот самый терминал, и отследить с какого именно устройства идут обращения невозможно (или возможно? Есть гуру кто подскажет как?)
А теперь самое странное, чтобы всё-таки понять, что за устройство у меня в сети решило податься в политику, да ещё и кошелек упорно проверить пытается, я поднял dhcp сервак на самой малинке и убил его на терминале. Теперь я вижу какое именно устройство и куда в течении дня пытается лезть. Вот только после этой манипуляции из сети резко исчез весь подозрительный трафик.
Внимание вопрос, что это за херня? В течении пары дней я ещё буду смотреть статистику пока шлюзом является малина, а потом опять верну dhcp на терминал. |
|
 |
|
 |
CoMpOsTeR
Эксперт
 |
|
| Timonok писал(а): |
Теперь я вижу какое именно устройство и куда в течении дня пытается лезть. Вот только после этой манипуляции из сети резко исчез весь подозрительный трафик.
|
Самое интересно и не сказали, т.е. что это за такое интеллектуальное устройство было, которое даже задетектило попытку его вычислить. |
|
| |
|
|
Plaguer
Эксперт
 |
|
| Цитата: |
и отследить с какого именно устройства идут обращения невозможно |
Я бы попробовал выставить dns-сервером у клиентов не ONT а raspbian. |
|
| |
|
|
Timonok
Эксперт
|
|
| Plaguer писал(а): |
Я бы попробовал выставить dns-сервером у клиентов не ONT а raspbian. |
Терминал так не умеет, а вручную на каждом устройстве менять, конечно можно, но уж очень лень. Устройств в сети по быстрым подсчетам около 15. |
|
| |
|
|
Plaguer
Эксперт
|
|
| Timonok писал(а): |
| Plaguer писал(а): |
Я бы попробовал выставить dns-сервером у клиентов не ONT а raspbian. |
Терминал так не умеет |
Можно DHCP поднять и с него выдавать адрес днс-сервера, думаю и распбиан и ОНТ должны уметь. |
|
| |
|
|
Timonok
Эксперт
|
|
| ОНТ не умеет, в качестве DNS себя выставляет и никак на это не повлиять. На распбиане уже так сделал, проблема в том, что этот левый трафик сразу исчез. Логи снял, вечером выставлю всё как было, и посмотрю вернется ли эта зараза. |
|
| |
|
|
Мишаня
Гуру
 |
|
| WireShark тебе в помощь, посмотришь куда и от кого пакеты летят |
|
| |
|
|
Timonok
Эксперт
|
|
Что и требовалось доказать, что это за фигня ума не приложу. Пока DHCP сервером является малина, я вижу кто в сети, куда пытается лезть и картина вот такая (ничего подозрительного, всё ровно):
Как только DHCP сервером становится терминал от ростелекома, появляется вот такая херня в сети:
Оба скриншота это статистика обращений к локальному DNS серверу за день. И это при том, что днем в сеть выходят только телефоны и тв приставки. Ноуты и ПК отключены.
За наводку на WireShark спасибо, сейчас буду курить, как пользоваться.
ЗЫ: похоже для wireshark'a я слишком туп, не смог разобраться |
|
| |
|
|
Evgeny79
Гуру
 |
|
| |
|
|
xak-TM
Продвинутый форумчанин
 Предупреждений : 1
|
|
| |
|
|
Timonok
Эксперт
|
|
| Пока что проблема решилась включением фаерволла на wan порту (почему-то по умолчанию он выключен). Получается трафик поступал извне? |
|
| |
|
|
Dmitriy
Продвинутый форумчанин
 |
|
| Timonok писал(а): |
| Пока что проблема решилась включением фаерволла на wan порту (почему-то по умолчанию он выключен). Получается трафик поступал извне? |
скорей управлялся  |
|
| |
|
|
|
