К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

скайп
Гость
0 - 22.05.2012 - 18:50
ну, я так думаю, что скайп
опять же вопрос, кто виноват что в спойлере [code] не лапшит, А?
droidman, как думаешь?
Код:
22:33:28.268319 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [S], seq 4222826258, win 14520, options [mss 1452,sackOK,TS val 2058100155 ecr 0,nop,scale 6], length 0
22:33:28.268336 IP 85.113.38.134.45617 > 85.26.148.79.80: Flags [F.], seq 3405085978, ack 1931094860, win 244, options [nop,nop,TS val 2058100155 ecr 2378082658], length 0
22:33:28.294775 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [S.], seq 1930130190, ack 4222826259, win 5792, options [mss 1412,sackOK,TS val 237803230 ecr 2058100155,nop,wscale 9], length 0
22:33:28.294791 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [.], ack 1, win 227, options [nop,nop,TS val 2058100182 ecr 2378083230], length 0
22:33:28.294775 IP 85.26.148.79.80 > 85.113.38.134.45617: Flags [F.], seq 1, ack 1, win 14, options [nop,nop,TS val 2378083230 ecr 2058100155], lengt 0
22:33:28.294811 IP 85.113.38.134.45617 > 85.26.148.79.80: Flags [.], ack 2, win 244, options [nop,nop,TS val 2058100182 ecr 2378083230], length 0
22:33:28.294880 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [P.], seq 1:294, ack 1, win 227, options [nop,nop,TS val 2058100182 ecr 2378083230], length 293
22:33:28.294899 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [P.], seq 294:295, ack 1, win 227, options [nop,nop,TS val 2058100182 ecr 2378083230] length 1
22:33:28.318774 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [.], ack 294, win 14, options [nop,nop,TS val 2378083254 ecr 2058100182], length 0
22:33:28.318775 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [.], ack 295, win 14, options [nop,nop,TS val 2378083254 ecr 2058100182], length 0
22:33:28.831770 IP 85.26.148.79.80 > 85.113.38.134.45618: Flags [P.], seq 1:147, ack 295, win 14, options [nop,nop,TS val 2378083768 ecr 2058100182],length 146
22:33:28.831789 IP 85.113.38.134.45618 > 85.26.148.79.80: Flags [.], ack 147, win 244, options [nop,nop,TS val 2058100719 ecr 2378083768], length 0
22:33:29.375973 IP 85.113.38.134.45619 > 85.26.148.79.80: Flags [S], seq 3407392493, win 14520, options [mss 1452,sackOK,TS val 2058101263 ecr 0,nop,scale 6], length 0


Гость
1 - 22.05.2012 - 19:03
и нашлепало все это хозяйство примерно 250k _живых_ коннектов
я немного подумал и сделал так
iptables -j ACCEPT -o ppp0 -d 85.26.148.79 -m statistic --mode nth every 10
iptables -j DROP -o ppp0 -d 85.26.148.79
и через 20 минут все устаканилось
Гость
2 - 22.05.2012 - 20:22
http://dawhois.com/site/newstube.ru.html
хотя да, по портам похоже на скайп. а т.к. это newstube, то можно предположить, что и потоковое видео тоже типа как торренты идет
Гость
3 - 22.05.2012 - 20:38
порты-то тут совсеееем не причем)
Гость
4 - 22.05.2012 - 20:42
имел ввиду не нумерацию, а последовательность, 45617, 18, 19...
Гость
5 - 22.05.2012 - 20:45
Цитата:
Сообщение от gloomymen Посмотреть сообщение
и нашлепало все это хозяйство примерно 250k _живых_ коннектов
а что за железо? ))))))))))))))
Гость
6 - 22.05.2012 - 20:56
что в спойлере [code] не лапшит
=) вас махензи "лапшит"?

в логе запрос и ответ, чо не ясно то?)
может быть snort-event'ы поставить?
Гость
7 - 22.05.2012 - 21:11
4-Sages > сиквенс, уже ближе к телу, но если обратить внимание на длину, то это не поток, это практицки видео-ниагара, ага)
5-Sages > обычный писюк с центосем
6-droidman > тупишь дружище)
Гость
8 - 22.05.2012 - 22:46
эх, скушный вы народ
Гость
9 - 23.05.2012 - 07:11
такая же картина раз была от скайпа, чуть видеоконференцию не сорвали
Гость
10 - 23.05.2012 - 10:42
гоша, а как безопасники борются со скайпом? какие у них есть сигнатуры?
это вамбль не ицмп закрывать)
Гость
11 - 23.05.2012 - 11:00
если честно, то особо мозг не напрягаю. Использую готовые сигнатуры чекпоинта :)
на сквиде по юзерагент
Гость
12 - 23.05.2012 - 11:10
зальешь сигнатуры в свободный доступ?)
смысл-то есть юзерагент проверять? это говно всегда его отдает?
Гость
13 - 23.05.2012 - 11:21
просто как-то помониторил инвалидреквесты, http там и в помине не было, чистые бинарники
Гость
14 - 23.05.2012 - 11:46
http://www.md3v.com/block-skype-with-snort ?)
Гость
15 - 23.05.2012 - 12:25
droidman, спасибо, попробую
Гость
16 - 23.05.2012 - 13:20
то ли я смещений не вижу, или плавающая?
имхо на 80-м будут ложные срабатывания на плюшки "17 03 01" "17 03 01 00" "16 03 01" "16 03 01 00"
сам-то пробовал?
опять же 2010г
Гость
17 - 23.05.2012 - 15:08
dsize: это смещение?
ну нет у меня снорта, в фильтр хочу засунуть
Гость
18 - 23.05.2012 - 15:12
без смещения, за 23 минуты 5k6 совпадений это бск
Гость
19 - 23.05.2012 - 22:59
если dsize принять за смещение, то совпадений 0, за 8 часов, что тоже бск
droidman, эни коммент
Гость
20 - 23.05.2012 - 23:11
нагуглил что ли, умник?
Гость
21 - 24.05.2012 - 08:27
похоже dsize это уже внутри tcp, добавил длину заголовков и начались попадосы
Гость
22 - 24.05.2012 - 09:11
11-Gochy > давай бинарники, сам поковыряю, потом тебе же и продам)
Гость
23 - 24.05.2012 - 09:18
адрес в личку отправил
Гость
24 - 25.05.2012 - 10:21
23-gloomymen >
глуми, я в замешательстве ))) фильтрация идет по юзерагенту :D поддержка зависла над запросом какие еще сигнатуры есть и попросила таймаут.
Попросил еще ibm сигнатурами Proventia поделиться. Обещали помочь :) Как раз 1.06 приедут к нам.
PS: адрес зачетный ;)
Гость
25 - 25.05.2012 - 11:03
по юзерагенту мне не пойдет, смысл в том, чтобы пусть оно живет мимо сквида, и не гадит в логи
адрес зачетный
отож, это самая короткая в мире программа, 5 байт, длинный джамп, автор я)
Гость
26 - 25.05.2012 - 12:28
гоша, как безопасник, скажешь куда переход? ммм)
Гость
27 - 25.05.2012 - 12:50
та не помню уже :) на задворках памяти что-то подсказывает про перезагрузку что ли
Гость
28 - 25.05.2012 - 13:13
а realmode так и есть, переход в биос на штатный холодный рестарт
зачет, как безопаснику)
Гость
29 - 25.05.2012 - 13:39
мало реальных "грамотеев" осталось
с тобой я бы выпил конины) с удовольствием)
Гость
30 - 25.05.2012 - 13:56
вот вам Рой Орбисон http://www.youtube.com/watch?v=8YNb5OYieBc
по удельной массе это вроде нашего Ободзинского, но судьба не такая корявая, успел попеть
Гость
31 - 25.05.2012 - 14:40
пердателям Родины крайне ремендуется
http://www.youtube.com/watch?v=3dVmvz6h_BE
Гость
32 - 25.05.2012 - 16:11
гоша, не помню уже 5-й или 6-й турбоассемблер отказывался компилять длинный преход, пришлось в hiew кодить) ибо приспичило тогда, 7-й уже схавал


К списку вопросов



« Предыдущая тема | Следующая тема »



www.megastock.ru

Интернет-форум Краснодарского края и Краснодара
г. Краснодар, Краснодарский край 2022г.


Тех. поддержка в Краснодаре: написать
Copyright ©, Все права защищены