לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > חומרה ורשתות
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #1  
ישן 29-02-2020, 21:35
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
תעבורת רשת לא מזוהה

היי, עקב איטיות במחשב ובפרט בגלישה באינטרנט אני בוחן את התעבורת רשת במחשב שלי, חוץ מהתליכים שאני מזהה יש לי מלא דברים כאלו(בד"כ זה יותר, זה כל הזמן יורד ועולה)



תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה



אין לי מושג מה זה החיבורים האלו, הכתובת השמאלית היא כתובת פנימית שמובילה ל APACHE אצלי במחשב. (החיבורים בד"כ מתחברים ל 80/443/3306)


ניסיתי לחסום תקשורת פנימה ע"י
קוד:
ufw default deny incoming

וגם חסמתי את 443 ספציפית
אבל זה לא נראה עוזר, האם אני עושה משהו לא תקין? האם זה מצב תקין?
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 29-02-2020, 23:46
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 1 שנכתבה על ידי Nati323 שמתחילה ב "תעבורת רשת לא מזוהה"

שלושת הראשונים הם הענן של אמאזון
הרביעי גוגל

מה עובר שם קשה לדעת כי זה פורט מוצפן, אבל אם תקליט את התעבורה עם tcpdump ואם לא משתמשים ב ESNI, אתה תוכל לדעת לאיזה הוסט הלקוחות ניסו להתחבר על ידי עיון בתחלופת ה SNI בתוך TLS

כמו כן, netstat -ptn (כשהוא רץ בתור המשתמש root) יגיד לך איזו תוכנה פתחה את החיבורים. זו דרך הרבה יותר הגיונית להסתכל עליהם מאשר באמצעות תוכנה שמטרתה לבדוק מה מבזבז לך רוחב פס

לגבי anydesk מדובר על תוכנה לשליטה מרחוק במחשב

פורט 3306 זהו הפורט של MySQL (כיום MariaDB)
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 01-03-2020, 19:51
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 2 שנכתבה על ידי שימי שמתחילה ב "שלושת הראשונים הם הענן של..."

תודה שימי.


ראשית מה שהיה נראה לי חשוד זה שזה נראה כמו חיבורים נכנסים ולא יוצאים ולכן חשדתי שמישהו מתקיף את המחשב שלי ולכן ניסיתי לחסום עם ufw. [גם מחיפוש בגוגל על פלט של nethogs נראה יותר ששורות כאלו שייכות לשרתים ולא למחשבים אישיים] אני מבין שאתה לא מבין ככה?



שנית אני אבדוק בעוד כמה רגעים אם אפשר לראות מה ההוסט שזה פונה אליו, בנתיים עשיתי reverse dns lookup על התמונה מתחת: והתוצאה היא: edge-star-shv-01-frx5.facebook.com, החמישי בתמונה שפתחתי איתה את האשכול הוא: ber01s14-in- 14.1e100.net והרביעי הוא: server-13-227-170-34.lhr52.r.cloudfront.net עשיתי WHOIS והם באמת של גוגל ואמזון מה שגורם לי לחשוד שזה אולי באמת חיבורים יוצאים כי סביר להניח [או שלא סביר?] שהחברות האלו לא מנסות להתחבר אליי למחשב אלא משהו אצלי מתחבר אליהן.





לגבי netstat, אני לא רואה שם תוכנות לא רצויות למעט שתי שורות חשודות בעיניי שאין להן ציון לתוכנה שפתחה אותן וגם הSTATE שלהן הוא TIME_WAIT להלן שורה לדוגמא:


תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה



גם ב nethogs וגם ב netstat אין PID או PROGRAM NAME ומחיפוש בגוגל נראה [לפחות לגבי NETHOGS] שהתקשורת לא מזוהה אז זה מוגדר ככה וגם לא מופיעה התעבורה האמיתית של החיבור הזה [מה שיכול להיות שעובר שם הרבה דאטא ואני לא רואה את זה]



מה שעוד מחשיד אא"כ יש לך הסבר זה שגם יש פורט 3306, סביר להניח שאף תוכנה אליי במחשב לא פונה לשרת SQL מרוחק כי לא פונים לשרת SQL בצד לקוח [ברובא דרובא של המקרים]
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 01-03-2020, 20:00
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 3 שנכתבה על ידי Nati323 שמתחילה ב "תודה שימי. ראשית מה שהיה..."

מה גרם לך לחשוב שהם נכנסים? יש לך שרתים שמאזינים לפורטים כמו 42166? הרצת סניפר וראית שהפאקט הראשון הגיע מהצד של האינטרנט ולא מהצד שלך, והיה מופעל בו דגל SYN?

TIME_WAIT הוא חיבור שכבר נסגר ורק עוד לא נוקה (קרא על ה TCP State Machine כדי להבין מה זה). כיוון שהוא חיבור שכבר נסגר, הוא לא שייך לאף תוכנה ולכן אף תוכנה לא תוצג. רק חיבורים פעילים (ESTABLISHED) יציגו "בעלים"...

לגבי 3306, לא מופיע בצילום המסך שלך. במקרה היה כתוב 127.0.0.1 בכתובת? (שזה חיבור מעצמך לעצמך) - בכלל, MySQL/MariaDB, בקונפיגורציית ברירת המחדל, כלל לא פתוח לחיבורים מחוץ.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 01-03-2020, 20:42
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 4 שנכתבה על ידי שימי שמתחילה ב "מה גרם לך לחשוב שהם נכנסים?..."

תאמת שחיפשתי בגוגל כדי להבין מה זה הפלט הזה שאני רואה ופשוט ראיתי דוגמאות משרתים שנראות ככה לכן חשבתי [ כמו שציינתי לעיל], בכל מקרה לא הרצתי סניפר, האם רלוונטי להריץ או שבטוח ב 100% שאלו חיבורים יוצאים?


אוקיי, אז לפי netstat אין לי חיבורים יוצאים פעילים מה שכןיש מצב שלא הצלחתי לתפוס אותם בנקודה שהם עושים את מה עושים ולכן לא ראיתי אותם פעילים.


לא זוכר מה הייתה הכתובה הפנימית אבדוק אם זה יופיע שוב.


אציין[שכחתי מקודם] שהיה לי דוקר רץ על המחשב ואחרי שסגרתי את כל ה containers אני רואה רגיעה ב nethogs אבל לא ב netstat[ששם בכל הפעמים שהרצתי ראיתי את החיבור ה"חשוד".


אין לי הסבר למה המחשב שלי מתקשר עם דומיינים כאלו מוזרים, אני מניח שיש לי תוכנה מסויימת על המחשב שגורמת לזה וזה לא טוב, האם יש לי ברירה חוץ מלפרמט?

בכל מקרה, התקשורת הזו
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 01-03-2020, 21:52
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 5 שנכתבה על ידי Nati323 שמתחילה ב "תאמת שחיפשתי בגוגל כדי להבין..."

אחרי חיפוש בגוגל אחר אחד הדומיינים מצאתי את התשובה הזו: https://superuser.com/questions/758...orts-open-to-it
נראה שזה דומיין ששייך לכלי מעקב של גוגל, מניח שהשאר (לפחות של פייסבוק כי אף אחד אחר לא יפתח שם SUB DOMAIN)


בכל מקרה, אני חווה איטיות נוראה הרבה פעמים בפיירפוקס ובתמיכה שלהם כתוב שאחת הסיבות היא שייתכן שאולי יש maleware על המחשב (סרקתי עם שתי אנטיוירוסים sophop ועוד אחד מאתר של המלצות) ולא מצאו כלום, יש לי ממה לחשוש ?
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 01-03-2020, 23:07
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 6 שנכתבה על ידי Nati323 שמתחילה ב "אחרי חיפוש בגוגל אחר אחד..."

הדומיין 1e100.net של גוגל הוא מוכר, וגוגל אפילו מפרסמת את דבר קיומו באופן רשמי: https://support.google.com/faqs/answer/174717

שום דבר לא בטוח אף פעם, אבל בד"כ המחשב שלך יהיה מאחורי ראוטר ביתי, ואלא אם כן עשית הפניית פורטים מבחוץ (או הגדרת את ה IP של המחשב שלך בתור ה DMZ בראוטר), כלל לא אמורים להצליח להתחבר אליו מהאינטרנט, אלא רק מתוך הרשת הביתית.

ככלל, במערכת לינוקס מודרנית לא אמור להיות שום דבר בהאזנה כשמערכת היא כפי ש"יצאה מהיצרן". אני אומר במאמר מוסגר שהצבעים בצילומי המסך שלך מזכירים לי את הצבעים המזעזעים של אובונטו, ובהם אני תמיד חושד כי הם חושבים שהם חכמים יותר מכל העולם משום מה... בכל מקרה עדיין הראוטר הביתי הפשוט אמור להגן עלייך.

ככלל, שהפורטים 80/443 נמצאים בצד שאינו הצד שלך, סביר שזו גלישה רגילה באינטרנט או כל דבר שמשתמש ב API-ים סטנדרטיים

יש אנשים שמתבלבלים וחושבים ש docker זה דבר בטוח כמו מכונה וירטואלית (שגם היא לרוב לא בטוחה יותר מדי). הם טועים. בתלות במקום שממנו אתה משיג את הקונטיינרים שאתה מריץ, ייתכן שחלקם לא תמימים, היו דברים מעולם.

לפרמט? לא יודע, זה מושג שאני שומע בעיקר בעולם של "חלונות", לא של לינוקס. הרצה של אנטי וירוסים על לינוקס היא דבר מגוחך בעיני, אני מכיר רק בנאדם אחד שטוען שיש וירוסים בלינוקס, והוא עדיין לא הצליח להוכיח לי שיש באמת אחד כזה שלא דורש ממך להוריד אותו מהאינטרנט ולעשות לו chmod +x כדי להריץ אותו (ואז, בעיני, הוירוס הוא המשתמש, ולא הוירוס). בלינוקס תמצא אולי rootkit-ים וכיוצ"ב, אבל מטרתם איננה ממש להיות כמו וירוסים בחלונות, אלא סתם להסתיר את העובדה שהמחשב נפרץ. איך הוא נפרץ? או בשיטת הוירוס האנושי שהזכרתי לעיל, או כי נמצאו בעיות אבטחה במוצרים מסויימים, ולא טרחת לעדכן את מערכת ההפעלה (שבלינוקס מעדכנת את כל התוכנות שלך, ולא רק את אלה של היצרן כמו ב"חלונות" - כמובן בכפוף לזה שאתה עובד כמו שצריך ומשתמש במנהל החבילות...). בד"כ זה גם משלב את זה שאתה מריץ דברים בתור root למרות שביום יום אין שום סיבה לעבוד עם המשתמש הזה.

תשובה כללית לשאלה כללית...

אשר לאיטיות, אין לי מושג. אולי סתם יש לך המון תוספים בדפדפן והם חונקים לך אותו...
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #8  
ישן 02-03-2020, 10:38
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 7 שנכתבה על ידי שימי שמתחילה ב "הדומיין 1e100.net של גוגל הוא..."

אכן UBUNTU [אני דווקא אוהב את הצבע :O].


לגבי ה DOCKER ציינתי אותו כיוון שקראתי באינטרנט שהוא פותח פורטים ב IPTABLES ועוקף את UFW, אבל אדע להיזהר מאיפה אני מוריד קונטיינרים להבא.


תראה, בד"כ אני תמיד מעדכן גם קופצת הודעה של המערכת וזה ממש קליל, אני לא זוכר שאני עושה משהו בתור ROOT לפחות לא באופן קבע, מה שכן אני חושד זה שאולי תוכנה שהורדתי לא מה PACKAGE MANGAER עושה את הצרות.


בכל מקרה, תודה על המענה :}
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 03:16

הדף נוצר ב 0.04 שניות עם 12 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר