скайп
 

ну, я так думаю, что скайп
опять же вопрос, кто виноват что в спойлере [code] не лапшит, А?
droidman, как думаешь?
[code]
22:33:28.268319 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [S], seq 4222826258, win 14520, options [mss 1452,sackOK,TS val 2058100155 ecr 0,nop,scale 6], length 0
22:33:28.268336 IP 85.113.38.134.45617 > 85.26.148.79.80: Flags [F.], seq 3405085978, ack 1931094860, win 244, options [nop,nop,TS val 2058100155 ecr 2378082658], length 0
22:33:28.294775 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [S.], seq 1930130190, ack 4222826259, win 5792, options [mss 1412,sackOK,TS val 237803230 ecr 2058100155,nop,wscale 9], length 0
22:33:28.294791 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [.], ack 1, win 227, options [nop,nop,TS val 2058100182 ecr 2378083230], length 0
22:33:28.294775 IP 85.26.148.79.80 > 85.113.38.134.45617: Flags [F.], seq 1, ack 1, win 14, options [nop,nop,TS val 2378083230 ecr 2058100155], lengt 0
22:33:28.294811 IP 85.113.38.134.45617 > 85.26.148.79.80: Flags [.], ack 2, win 244, options [nop,nop,TS val 2058100182 ecr 2378083230], length 0
22:33:28.294880 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [P.], seq 1:294, ack 1, win 227, options [nop,nop,TS val 2058100182 ecr 2378083230], length 293
22:33:28.294899 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [P.], seq 294:295, ack 1, win 227, options [nop,nop,TS val 2058100182 ecr 2378083230] length 1
22:33:28.318774 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [.], ack 294, win 14, options [nop,nop,TS val 2378083254 ecr 2058100182], length 0
22:33:28.318775 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [.], ack 295, win 14, options [nop,nop,TS val 2378083254 ecr 2058100182], length 0
22:33:28.831770 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [P.], seq 1:147, ack 295, win 14, options [nop,nop,TS val 2378083768 ecr 2058100182],length 146
22:33:28.831789 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [.], ack 147, win 244, options [nop,nop,TS val 2058100719 ecr 2378083768], length 0
22:33:29.375973 IP 85.113.38.134.45619 > 85.26.148.79.80: Flags [S], seq 3407392493, win 14520, options [mss 1452,sackOK,TS val 2058101263 ecr 0,nop,scale 6], length 0
[/code]

и нашлепало все это хозяйство примерно 250k _живых_ коннектов
я немного подумал и сделал так
iptables -j ACCEPT -o ppp0 -d 85.26.148.79 -m statistic --mode nth every 10
iptables -j DROP -o ppp0 -d 85.26.148.79
и через 20 минут все устаканилось

[url]http://dawhois.com/site/newstube.ru.html[/url]
хотя да, по портам похоже на скайп. а т.к. это newstube, то можно предположить, что и потоковое видео тоже типа как торренты идет

порты-то тут совсеееем не причем)

имел ввиду не нумерацию, а последовательность, 45617, 18, 19...

[quote=gloomymen;25177972] и нашлепало все это хозяйство примерно 250k _живых_ коннектов[/quote]
а что за железо? ))))))))))))))

[em]что в спойлере [code] не лапшит[/em]
=) вас махензи "лапшит"?

в логе запрос и ответ, чо не ясно то?)
может быть snort-event'ы поставить?

4-Sages > сиквенс, уже ближе к телу, но если обратить внимание на длину, то это не поток, это практицки видео-ниагара, ага)
5-Sages > обычный писюк с центосем
6-droidman > тупишь дружище)

эх, скушный вы народ

такая же картина раз была от скайпа, чуть видеоконференцию не сорвали

гоша, а как безопасники борются со скайпом? какие у них есть сигнатуры?
это вамбль не ицмп закрывать)

если честно, то особо мозг не напрягаю. Использую готовые сигнатуры чекпоинта :)
на сквиде по юзерагент

зальешь сигнатуры в свободный доступ?)
смысл-то есть юзерагент проверять? это говно всегда его отдает?

просто как-то помониторил инвалидреквесты, http там и в помине не было, чистые бинарники

[url]http://www.md3v.com/block-skype-with-snort[/url] ?)

droidman, спасибо, попробую

то ли я смещений не вижу, или плавающая?
имхо на 80-м будут ложные срабатывания на плюшки "17 03 01" "17 03 01 00" "16 03 01" "16 03 01 00"
сам-то пробовал?
опять же 2010г

dsize: это смещение?
ну нет у меня снорта, в фильтр хочу засунуть

без смещения, за 23 минуты 5k6 совпадений это бск

если dsize принять за смещение, то совпадений 0, за 8 часов, что тоже бск
droidman, эни коммент

нагуглил что ли, умник?

похоже dsize это уже внутри tcp, добавил длину заголовков и начались попадосы

11-Gochy > давай бинарники, сам поковыряю, потом тебе же и продам)

адрес в личку отправил

23-gloomymen >
глуми, я в замешательстве ))) фильтрация идет по юзерагенту :D поддержка зависла над запросом какие еще сигнатуры есть и попросила таймаут.
Попросил еще ibm сигнатурами Proventia поделиться. Обещали помочь :) Как раз 1.06 приедут к нам.
PS: адрес зачетный ;)

по юзерагенту мне не пойдет, смысл в том, чтобы пусть оно живет мимо сквида, и не гадит в логи
[em]адрес зачетный[/em]
отож, это самая короткая в мире программа, 5 байт, длинный джамп, автор я)

гоша, как безопасник, скажешь куда переход? ммм)

та не помню уже :) на задворках памяти что-то подсказывает про перезагрузку что ли

а realmode так и есть, переход в биос на штатный холодный рестарт
зачет, как безопаснику)

мало реальных "грамотеев" осталось
с тобой я бы выпил конины) с удовольствием)

вот вам Рой Орбисон [url]http://www.youtube.com/watch?v=8YNb5OYieBc[/url]
по удельной массе это вроде нашего Ободзинского, но судьба не такая корявая, успел попеть

пердателям Родины крайне ремендуется
[url]http://www.youtube.com/watch?v=3dVmvz6h_BE[/url]

гоша, не помню уже 5-й или 6-й турбоассемблер отказывался компилять длинный преход, пришлось в hiew кодить) ибо приспичило тогда, 7-й уже схавал