[pingUIN]

Через netstat можно глянуть ПО которое использует сетевое подключение в сторону маршрутизатора(если пакеты действительно целенаправленно летят на маршрутизатор).

[ruslandh]

netstat - тут вопросов нет.

netstat -p

[Ultrix]

Так, мне нетстат в консоли на линуксе прописать ?

Я просто его выключил и лишний раз включать не хочу, а то снова весь офис встанет. Хочу сразу же прояснить все ньюансы.

Вот прописаля нетстат, оно показало мне демона который пакеты шлет, его удаляю. А если он не удаляется или еще что ? какие могут возникнуть проблемы ?

[ruslandh]

Да, это консольная консольная команда. Подробности использования почитайте в man netstat

Зачем удалять - просто остановите его и уберите из автозапуска. Большое подозрение, что это что-то хочет обновиться,или обновить свою базу через интернет

[Ultrix]

Врядли это что-то хочет обновиться, потому что пакеты идут с бешеной скоростью и прямиком на маршрутизатор. Сейчас попытаюсь объяснить в двух словах.

У меня на центоси есть 2 интерфейса, один с выделеным айпи, это чтобы на сайт конектились и один с внутреней сеткой 10.0.0.1. Там же есть график трафика, с какого интерфейса сколько идет пакетов.

Так вот навожу на внешний интерфейс, там байты\килобайты и посути обмена нет (если не юзать инэт), а вот навожу на второй интерфейс, который 10.0.0.15, там график скачет, показывая скорость ПОСЫЛКИ пакетов и от 100мб\сек до 700-800мб\сек. Я пока там ковырялся, он послал мне 180 гигов на маршрутку примерно за 40 минут. Ну как я понял что идет ддос на маршрутку - в логах маршрутизатора так и написано "с адреса 10.0.0.15 замечена дидос атака" (практически достловно).




Блин, щас глянул что дала команда netstat -p. Очень огромная таблица, многие демоны в которой мне не ясны Как быть ?

Если я сюда скину тхт с netstart`ом подскажите в каком направлении думать ?

[zai]

Цитата Ultrix:

глянул что дала команда netstat -p. Очень огромная таблица, многие демоны в которой мне не ясны »

Покажи: netstat -tnlp

[Ultrix]

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:57817 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp6 0 0 ::1:25 :::* LISTEN -
tcp6 0 0 :::443 :::* LISTEN -
tcp6 0 0 :::111 :::* LISTEN -
tcp6 0 0 :::80 :::* LISTEN -
tcp6 0 0 :::34225 :::* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
tcp6 0 0 ::1:631 :::* LISTEN



Это netstat -tnlp


Только вот походу антивирусник, вчера мною установленный, как то сам походу обрубил злодея (хотя я ему не давал никаких команд и вообще думал что он не встал ибо были ошибки-таймауты во время его установки), ведь на данный момент нету никаких посыланий кучи пакетов и все ок.


Ха, рано радовался. Через минут 15 после того как написал строчку выше, началось снова, только уже не постоянно, как было до этого, а "по чучуть". Пару минутных скачков скорости передачи с внутреннего интерфейса до 300мб\сек. За оба скачка передано 19 гигов инфы.



Заметил небольшую закономерность, когда пытаюсь добавить репозиторий командой rpm -Uhv, то передача трафика внутри сети не на долго возрастает до 300мб\сек, соответственно все вешается, но вскоре приходит в норму.



В норме было не долго, только что снова началась отправка пакетов и уже не заканчивается.

[ruslandh]

Цитата Ultrix:

Заметил небольшую закономерность, когда пытаюсь добавить репозиторий командой rpm -Uhv, то передача трафика внутри сети не на долго возрастает до 300мб\сек, соответственно все вешается, но вскоре приходит в норму. »

Смотрите настройку репозитория. Мне всё-же кажется, что это попытка обновить базы репозитория, или что-то похожее. Кто там у вас за это отвечает - yum? или ещё кто.

[Ultrix]

А что там смотреть ?


Мои знания никсов достаточно скудны, все по сайтам да по статейкам из интернетов собираю.