Forklaring søges
Jeg har prøvet, at installere ArchBang, Antergos, Linux Mint og Debian. Efter OS-installationen har jeg så henter iftop og Wireshark , til overvågning af netværks-forbindelsen. I løbet at sek/min begynder de nævnte OS at sende meddelser af sted til Kina, Rusland, Rumænien, Costa Rica og alle andre mærklige steder på jorden. Er der nogen der kan forklare hvad der foregår og ikke mindst hvordan man får det slået fra.
Kommentarer10
Kan du uploade et pcapng
Eftersom du bruger Wireshark
Det er svært at gætte på hvad der ser men en af de ting der normalt er sat op på denne type distributioner er automatisk tidssynkronisering over internettet hvilket netop medfører kald til en række forskellige servere i forskellige lande. Men uden at vide noget om dine resultater er det svært at sige om det er den slags trafik (tidssynkronisering bruger NTP protokollen).
Hvis du ikke har viden til at gøre alt dette må du gerne sende mig dine Wireshark målinger til mig på julemand101@gmail.com. Så skal jeg gerne prøve at regne ud hvad for noget trafik du har med at gøre.
Forklaring søges
Jeg har sendt et par filer til Julemand101, som har lovet at kikke på senere i dag eller i morgen, eftersom jeg ikke bruger en cloud.
Jeg skylder lige at fortælle, at jeg har stiller det samme spørgsmål i Linux Mint's forum, uden at få et fornuftigt svar.
https://forums.linuxmint.com/viewtopic.php?f=18&t=221454&sid=c3ba06fe5b…
Lige en kort status over
Det viser sig hovedparten af den mystiske trafik fra adskillige lande er fordi han har hentet ISO filerne igennem Torrent og har efterfølgende slukket for Torrent klienten. Hans har så efterfølgende åbnet op for Wireshark og fået noget af et shock over alt trafikken og taget fejl af hver der er indgående og udgående trafik.
Så det meste af trafikken var altså forsøg udefra på at komme i kontakt med den torrent klient han havde lukket ned på maskinen og den trafik der kom fra hans egen computer var beskeder om at der ikke var nogen service på den forespurgte port.
Derudover var der også lidt diverse trafik grundet at Hans ikke har nogen Firewall elle router men kobler tilsyneladende sin computer direkte op på hans modem og derfor ser han en del af det skrald som en router normalt ville filtrere fra.
Jeg har senere lavet en analyse af Linux Mint og den trafik der kommer herfra er NTP og automatisk tjek efter opdateringer. NTP forsøger at koble op imod ntp.ubuntu.com imens den automatiske tjek af opdateringer kobler op mod en række forskellige Linux Mint og Ubuntu servere (hvilket ikke kan undgås). Derudover kører Samba og Cups som begge sender nogle broadcasts ud hvilket er ret naturligt for disse services og hvis man vil undgå dette kan man nemt slå dem fra.
Tak for opdateringen.Jeg
Jeg går ud fra at Hans har fået at vide at han snarest bør installere The Uncomplicated Firewall (ufw), såvel som svaret fra Mint's forum ikke helt var så ufornuftigt som han først antog.
Hans' ISP har formentlig en Firewall til deres formentlig mobile service. Ellers kan han tjekke det herfra:
https://www.grc.com/x/ne.dll?bh0bkyd2
#5
Ikke så direkte
Ikke så direkte anbefalinger men fint du anbefaler ufw her så. :)
Personligt synes jeg bedst om at få en router (uanset hvad) som så kan bruges som Firewall og hvor du så åbner for præcist de porte du ønsker trafik fra ind mod dit netværk. Men det er nok mest pga. jeg synes det er nemmere når jeg alligevel har flere enheder på netværket og hvor jeg ikke orker at konfigurere hver enkelt med sin egen Firewall.
#6
Helt enig. At køre uden
Helt enig. At køre uden router, inklusiv Firewall, er ikke det klogeste man kan finde på. En router er afgjort den bedste ide.
#7
Hvordan vil det egentlig
Hvordan vil det egentlig ændre på den traffik Hans ser i sit dump, hvis han kører med en firewall lokalt på computeren?
Hvis der ikke bliver lyttet på de porte der er udsat fra trafik udefra, vil det vel ikke gøre nogen forskel om trafikken bliver afvist af firewall'en der kører lokalt eller blot ikke får noget svar?
Jeg går ikke ud fra der er særlig mange porte åbne på ny installation af mint, hvis nogle overhovedet ( altså services der lytter på specifikke porte).
Det eneste jeg lige kan se han kan bruge en lokal firewall til er at begrænse login-raten, hvis der er services der lytter. Og evt. blokere for specifikke ip'er sammen med brug af fail2ban eller lignende.
Jeg er selvfølgelig med på at det er en god idé med en router m. firewall. Jeg spørger for forståelsen skyld.
#8
Der er måske lige den
Der er måske lige den forskel at hvis du bruger en firewall kan du angive at der ikke skal meldes noget svar tilbage hvis der bliver spurgt på en port der ikke findes. Ligeledes kan du afvise ping signaler og på den måde gøre det lidt sværere at finde ud af om der overhovedet er en computer på en pågældende IP adresse.
Men jo det gør ikke den store forskel med mindre man kører nogle programmer lokalt på computeren som man ikke ønsker der skal kunne oprettes forbindelse til udefra (fx samba og cups (hvor samba måske i dette tilfælde bare kunne slås helt fra)). Fordi der er ingen skade i at give adgang til en port der alligevel ikke er nogen programmer der lytter på.
#8#9 har svaret.Port
#9 har svaret.
Port 135, 137-139 og 445 inklusiv 631 eller hvad cups kører med, bør under alle omstændighed være lukket til internettet.
Herunder Wireshark, fra mit redundante netværk med en mobil adapter tilsluttet en Windows maskine der fungerer som router, og hvor en installeret tredjepart Firewall er afbrudt. Der er ialt 6 maskiner tændt på LAN. Torrent er slukket efter et test download fra et site jeg vil kalde rimeligt upålideligt.
https://db.tt/UivwFkrr