Hi! Господа, а кто мог бы помочь с идентификацией приложения ? Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом. Чует мое сердце, что это какой-то p2p, но обосновать не могу, нет у меня с ними опыта.. ;) PS: часть show ip cache flow | inc Vi399 адрес клиента скрыт. Vi399 XX.XXX.XX.XXX Gi0/0 217.44.48.54 06 273C F51B 3 Gi0/0 85.30.109.163 Vi399 XX.XXX.XX.XXX 11 69F8 273C 1 Gi0/0 218.45.19.112 Vi399 XX.XXX.XX.XXX 06 0688 273C 3 Gi0/0 121.113.81.28 Vi399 XX.XXX.XX.XXX 11 1C35 273C 1 Gi0/0 125.52.206.60 Vi399 XX.XXX.XX.XXX 11 8385 273C 1 Gi0/0 89.120.2.109 Vi399 XX.XXX.XX.XXX 11 49C3 273C 1 Gi0/0 87.16.232.221 Vi399 XX.XXX.XX.XXX 11 EB83 273C 1 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 06 1041 273C 2 Gi0/0 121.116.104.170 Vi399 XX.XXX.XX.XXX 06 1092 273C 1 Gi0/0 218.226.51.206 Vi399 XX.XXX.XX.XXX 11 56D9 273C 1 Gi0/0 58.34.187.193 Vi399 XX.XXX.XX.XXX 11 1F88 273C 1 Gi0/0 84.204.194.100 Vi399 XX.XXX.XX.XXX 06 0FC4 1670 2 Gi0/0 124.64.57.99 Vi399 XX.XXX.XX.XXX 11 C874 273C 1 Gi0/0 87.218.74.90 Vi399 XX.XXX.XX.XXX 11 329A 273C 1 Gi0/0 84.248.204.153 Vi399 XX.XXX.XX.XXX 11 240C 273C 1 Gi0/0 62.59.227.95 Vi399 XX.XXX.XX.XXX 11 A8D5 273C 1 Gi0/0 74.101.66.69 Vi399 XX.XXX.XX.XXX 11 EE9A 273C 1 Gi0/0 77.99.8.252 Vi399 XX.XXX.XX.XXX 11 5D76 273C 1 Gi0/0 122.126.136.201 Vi399 XX.XXX.XX.XXX 11 25BD 273C 1 Gi0/0 74.108.151.236 Vi399 XX.XXX.XX.XXX 11 233B 273C 1 Gi0/0 80.59.179.199 Vi399 XX.XXX.XX.XXX 11 25BC 273C 1 Gi0/0 84.204.101.208 Vi399 XX.XXX.XX.XXX 06 9A1E 273C 3 Gi0/0 222.194.52.108 Vi399 XX.XXX.XX.XXX 11 650B 273C 1 Gi0/0 81.169.137.209 Vi399 XX.XXX.XX.XXX 06 E88C 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 222.164.98.103 06 273C 0916 3 Gi0/0 202.229.214.236 Vi399 XX.XXX.XX.XXX 06 B8BB 273C 1 Gi0/0 202.229.214.236 Vi399 XX.XXX.XX.XXX 06 B8BD 273C 1 Gi0/0 202.229.214.236 Vi399 XX.XXX.XX.XXX 06 B8BC 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 84.204.101.208 06 273C 9A1E 3 Gi0/0 81.169.137.209 Vi399 XX.XXX.XX.XXX 06 E9B3 273C 1 Gi0/0 74.121.103.220 Vi399 XX.XXX.XX.XXX 11 F64A 273C 1 Gi0/0 71.125.239.221 Vi399 XX.XXX.XX.XXX 11 C39C 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 202.224.22.88 06 273C C5CD 3 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 1146 2 Gi0/0 85.69.218.130 Vi399 XX.XXX.XX.XXX 06 04A3 273C 3 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 1123 1 Gi0/0 220.157.207.220 Vi399 XX.XXX.XX.XXX 11 8265 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 85.58.143.193 06 273C C406 3 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 12BC 2 Gi0/0 68.80.102.102 Vi399 XX.XXX.XX.XXX 11 F823 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 213.248.106.67 06 1134 17E0 12 Gi0/0 124.21.240.100 Vi399 XX.XXX.XX.XXX 11 E5D1 273C 1 Gi0/0 81.182.131.245 Vi399 XX.XXX.XX.XXX 11 EA99 273C 1 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 0C66 2 Gi0/0 91.124.62.159 Vi399 XX.XXX.XX.XXX 06 0A1A 273C 3 Gi0/0 124.191.248.52 Vi399 XX.XXX.XX.XXX 11 4564 273C 1 Gi0/0 60.237.13.247 Vi399 XX.XXX.XX.XXX 11 388B 273C 1 Gi0/0 81.105.38.144 Vi399 XX.XXX.XX.XXX 11 2D53 273C 1 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Здравствуйте, Alexandre. Вы писали 13 апреля 2007 г., 13:25:38:
Hi!
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Чует мое сердце, что это какой-то p2p, но обосновать не могу, нет у меня с ними опыта.. ;)
PS: часть show ip cache flow | inc Vi399 адрес клиента скрыт.
Есть очень простой способ - позвонить клиенту, и спросить что он делает ))
Vi399 XX.XXX.XX.XXX Gi0/0 217.44.48.54 06 273C F51B 3 Gi0/0 85.30.109.163 Vi399 XX.XXX.XX.XXX 11 69F8 273C 1 Gi0/0 218.45.19.112 Vi399 XX.XXX.XX.XXX 06 0688 273C 3 Gi0/0 121.113.81.28 Vi399 XX.XXX.XX.XXX 11 1C35 273C 1 Gi0/0 125.52.206.60 Vi399 XX.XXX.XX.XXX 11 8385 273C 1 Gi0/0 89.120.2.109 Vi399 XX.XXX.XX.XXX 11 49C3 273C 1 Gi0/0 87.16.232.221 Vi399 XX.XXX.XX.XXX 11 EB83 273C 1 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 06 1041 273C 2 Gi0/0 121.116.104.170 Vi399 XX.XXX.XX.XXX 06 1092 273C 1 Gi0/0 218.226.51.206 Vi399 XX.XXX.XX.XXX 11 56D9 273C 1 Gi0/0 58.34.187.193 Vi399 XX.XXX.XX.XXX 11 1F88 273C 1 Gi0/0 84.204.194.100 Vi399 XX.XXX.XX.XXX 06 0FC4 1670 2 Gi0/0 124.64.57.99 Vi399 XX.XXX.XX.XXX 11 C874 273C 1 Gi0/0 87.218.74.90 Vi399 XX.XXX.XX.XXX 11 329A 273C 1 Gi0/0 84.248.204.153 Vi399 XX.XXX.XX.XXX 11 240C 273C 1 Gi0/0 62.59.227.95 Vi399 XX.XXX.XX.XXX 11 A8D5 273C 1 Gi0/0 74.101.66.69 Vi399 XX.XXX.XX.XXX 11 EE9A 273C 1 Gi0/0 77.99.8.252 Vi399 XX.XXX.XX.XXX 11 5D76 273C 1 Gi0/0 122.126.136.201 Vi399 XX.XXX.XX.XXX 11 25BD 273C 1 Gi0/0 74.108.151.236 Vi399 XX.XXX.XX.XXX 11 233B 273C 1 Gi0/0 80.59.179.199 Vi399 XX.XXX.XX.XXX 11 25BC 273C 1 Gi0/0 84.204.101.208 Vi399 XX.XXX.XX.XXX 06 9A1E 273C 3 Gi0/0 222.194.52.108 Vi399 XX.XXX.XX.XXX 11 650B 273C 1 Gi0/0 81.169.137.209 Vi399 XX.XXX.XX.XXX 06 E88C 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 222.164.98.103 06 273C 0916 3 Gi0/0 202.229.214.236 Vi399 XX.XXX.XX.XXX 06 B8BB 273C 1 Gi0/0 202.229.214.236 Vi399 XX.XXX.XX.XXX 06 B8BD 273C 1 Gi0/0 202.229.214.236 Vi399 XX.XXX.XX.XXX 06 B8BC 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 84.204.101.208 06 273C 9A1E 3 Gi0/0 81.169.137.209 Vi399 XX.XXX.XX.XXX 06 E9B3 273C 1 Gi0/0 74.121.103.220 Vi399 XX.XXX.XX.XXX 11 F64A 273C 1 Gi0/0 71.125.239.221 Vi399 XX.XXX.XX.XXX 11 C39C 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 202.224.22.88 06 273C C5CD 3 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 1146 2 Gi0/0 85.69.218.130 Vi399 XX.XXX.XX.XXX 06 04A3 273C 3 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 1123 1 Gi0/0 220.157.207.220 Vi399 XX.XXX.XX.XXX 11 8265 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 85.58.143.193 06 273C C406 3 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 12BC 2 Gi0/0 68.80.102.102 Vi399 XX.XXX.XX.XXX 11 F823 273C 1 Vi399 XX.XXX.XX.XXX Gi0/0 213.248.106.67 06 1134 17E0 12 Gi0/0 124.21.240.100 Vi399 XX.XXX.XX.XXX 11 E5D1 273C 1 Gi0/0 81.182.131.245 Vi399 XX.XXX.XX.XXX 11 EA99 273C 1 Gi0/0 216.208.154.188 Vi399 XX.XXX.XX.XXX 11 3E91 0C66 2 Gi0/0 91.124.62.159 Vi399 XX.XXX.XX.XXX 06 0A1A 273C 3 Gi0/0 124.191.248.52 Vi399 XX.XXX.XX.XXX 11 4564 273C 1 Gi0/0 60.237.13.247 Vi399 XX.XXX.XX.XXX 11 388B 273C 1 Gi0/0 81.105.38.144 Vi399 XX.XXX.XX.XXX 11 2D53 273C 1
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Не важно, веришь ли ты в бога, важно верит ли он в тебя... SUI-UANIC GAS-RIPE ______________________________________________ --== ISP Zaporozhye On Line ==-- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On 4/13/07, Alexandre Snarskii
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
:-))) поставить Service Control Engine к себе на сеть и почти не иметь проблем с идентификацией трафика :)
Чует мое сердце, что это какой-то p2p, но обосновать не могу, нет у меня с ними опыта.. ;)
-- /doka Vision without Execution is Hallucination. -- Thomas Edison. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
According to Alexandre Snarskii: Hi!
Hi!
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Если есть возможность, то я бы попробовал снять траффик tcpdump'ом, а потом подсунуть его ethereal'у -- что-то он умеет распознавать.
Чует мое сердце, что это какой-то p2p, но обосновать не могу, нет у меня с ними опыта.. ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Taras Heychenko =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день! On Fri, Apr 13, 2007 at 02:01:19PM +0300, Vladimir Litovka wrote:
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
:-))) поставить Service Control Engine к себе на сеть и почти не иметь проблем с идентификацией трафика :)
Судя по output это какая-то программная кошка. Если CPU позволяет можно попробовать NBAR запустить, он тоже кое-что определяет. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 13, 2007 at 04:08:07PM +0300, Taras Heychenko wrote:
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Если есть возможность, то я бы попробовал снять траффик tcpdump'ом, а потом подсунуть его ethereal'у -- что-то он умеет распознавать.
Нет такой возможности... Только netflow... Но очень четкий признак (один порт для tcp и udp, и использование практически только его), я думал, про него уже все, кроме меня, знают :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Alexandre! On Fri, Apr 13, 2007 at 17:24 +0400, Alexandre Snarskii wrote:
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Если есть возможность, то я бы попробовал снять траффик tcpdump'ом, а потом подсунуть его ethereal'у -- что-то он умеет распознавать.
Нет такой возможности... Только netflow... Но очень четкий признак (один порт для tcp и udp, и использование практически только его), я думал, про него уже все, кроме меня, знают :)
Я бы сказал, что это торрент-клиент на нестандартном порту. -- Victor Cheburkin VCW61, VC319-RIPE, VC1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 13, 2007 at 04:15:53PM +0300, Dmitry Kiselev wrote:
Добрый день!
On Fri, Apr 13, 2007 at 02:01:19PM +0300, Vladimir Litovka wrote:
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
:-))) поставить Service Control Engine к себе на сеть и почти не иметь проблем с идентификацией трафика :)
Судя по output это какая-то программная кошка. Если CPU позволяет можно попробовать NBAR запустить, он тоже кое-что определяет.
О! А про слона-то я и забыл :) Спасибо :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Apr 13, 2007 at 04:27:52PM +0300, Victor Cheburkin wrote:
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Если есть возможность, то я бы попробовал снять траффик tcpdump'ом, а потом подсунуть его ethereal'у -- что-то он умеет распознавать.
Нет такой возможности... Только netflow... Но очень четкий признак (один порт для tcp и udp, и использование практически только его), я думал, про него уже все, кроме меня, знают :)
Я бы сказал, что это торрент-клиент на нестандартном порту.
Я бы даже сказал, что "на стандартном для протокола нестандартном порту". На данном паттерне я уже выловил с десяток пользователей, признак у всех общий, а порты у всех разные... :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
According to Alexandre Snarskii: Hi!
On Fri, Apr 13, 2007 at 04:15:53PM +0300, Dmitry Kiselev wrote:
Добрый день!
On Fri, Apr 13, 2007 at 02:01:19PM +0300, Vladimir Litovka wrote:
Господа, а кто мог бы помочь с идентификацией приложения ?
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
:-))) поставить Service Control Engine к себе на сеть и почти не иметь проблем с идентификацией трафика :)
Судя по output это какая-то программная кошка. Если CPU позволяет можно попробовать NBAR запустить, он тоже кое-что определяет.
О! А про слона-то я и забыл :) Спасибо :)
Ты не забудь потом рассказать "що це було, мамо". :)
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Taras Heychenko =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (6)
-
Alexandre Snarskii -
Artem Grishin -
Dmitry Kiselev -
Taras Heychenko -
Victor Cheburkin -
Vladimir Litovka