Forklaring søges

Hans
Antal: 2
Tilmeldt:
12-05-2016
User is offline
Forklaring søges

Jeg har prøvet, at installere ArchBang, Antergos, Linux Mint og Debian. Efter OS-installationen har jeg så henter iftop og Wireshark , til overvågning af netværks-forbindelsen. I løbet at sek/min begynder de nævnte OS at sende meddelser af sted til Kina, Rusland, Rumænien, Costa Rica og alle andre mærklige steder på jorden. Er der nogen der kan forklare hvad der foregår og ikke mindst hvordan man får det slået fra.


frogmaster
frogmaster's picture
Antal: 3498
Tilmeldt:
20-05-2010
User is offline
Kan du uploade et pcapng

Kan du uploade et pcapng dump til en cloud og indsætte linket her?


julemand101
julemand101's picture
Antal: 1641
Tilmeldt:
17-01-2004
User is offline
Eftersom du bruger Wireshark

Eftersom du bruger Wireshark til dine observationer var det så ikke nemmest hvis du også lige fik set på de data du observerer og ser hvad slags trafik der er tale om (port og protokol) samt evt. indholdet?

Det er svært at gætte på hvad der ser men en af de ting der normalt er sat op på denne type distributioner er automatisk tidssynkronisering over internettet hvilket netop medfører kald til en række forskellige servere i forskellige lande. Men uden at vide noget om dine resultater er det svært at sige om det er den slags trafik (tidssynkronisering bruger NTP protokollen).

Hvis du ikke har viden til at gøre alt dette må du gerne sende mig dine Wireshark målinger til mig på julemand101@gmail.com. Så skal jeg gerne prøve at regne ud hvad for noget trafik du har med at gøre.


Hans
Antal: 2
Tilmeldt:
12-05-2016
User is offline
Forklaring søges

Tak for jeres hurtige respons.

Jeg har sendt et par filer til Julemand101, som har lovet at kikke på senere i dag eller i morgen, eftersom jeg ikke bruger en cloud.

Jeg skylder lige at fortælle, at jeg har stiller det samme spørgsmål i Linux Mint's forum, uden at få et fornuftigt svar.
https://forums.linuxmint.com/viewtopic.php?f=18&t=...


julemand101
julemand101's picture
Antal: 1641
Tilmeldt:
17-01-2004
User is offline
Lige en kort status over

Lige en kort status over denne mystiske trafik som forfatteren af tråden oplever.

Det viser sig hovedparten af den mystiske trafik fra adskillige lande er fordi han har hentet ISO filerne igennem Torrent og har efterfølgende slukket for Torrent klienten. Hans har så efterfølgende åbnet op for Wireshark og fået noget af et shock over alt trafikken og taget fejl af hver der er indgående og udgående trafik.

Så det meste af trafikken var altså forsøg udefra på at komme i kontakt med den torrent klient han havde lukket ned på maskinen og den trafik der kom fra hans egen computer var beskeder om at der ikke var nogen service på den forespurgte port.

Derudover var der også lidt diverse trafik grundet at Hans ikke har nogen Firewall elle router men kobler tilsyneladende sin computer direkte op på hans modem og derfor ser han en del af det skrald som en router normalt ville filtrere fra.

Jeg har senere lavet en analyse af Linux Mint og den trafik der kommer herfra er NTP og automatisk tjek efter opdateringer. NTP forsøger at koble op imod ntp.ubuntu.com imens den automatiske tjek af opdateringer kobler op mod en række forskellige Linux Mint og Ubuntu servere (hvilket ikke kan undgås). Derudover kører Samba og Cups som begge sender nogle broadcasts ud hvilket er ret naturligt for disse services og hvis man vil undgå dette kan man nemt slå dem fra.


frogmaster
frogmaster's picture
Antal: 3498
Tilmeldt:
20-05-2010
User is offline
Tak for opdateringen.Jeg

Tak for opdateringen.

Jeg går ud fra at Hans har fået at vide at han snarest bør installere The Uncomplicated Firewall (ufw), såvel som svaret fra Mint's forum ikke helt var så ufornuftigt som han først antog.

Hans' ISP har formentlig en Firewall til deres formentlig mobile service. Ellers kan han tjekke det herfra:

https://www.grc.com/x/ne.dll?bh0bkyd2


julemand101
julemand101's picture
Antal: 1641
Tilmeldt:
17-01-2004
User is offline
#5 Ikke så direkte

#5
Ikke så direkte anbefalinger men fint du anbefaler ufw her så. :)

Personligt synes jeg bedst om at få en router (uanset hvad) som så kan bruges som Firewall og hvor du så åbner for præcist de porte du ønsker trafik fra ind mod dit netværk. Men det er nok mest pga. jeg synes det er nemmere når jeg alligevel har flere enheder på netværket og hvor jeg ikke orker at konfigurere hver enkelt med sin egen Firewall.


frogmaster
frogmaster's picture
Antal: 3498
Tilmeldt:
20-05-2010
User is offline
#6 Helt enig. At køre uden

#6

Helt enig. At køre uden router, inklusiv Firewall, er ikke det klogeste man kan finde på. En router er afgjort den bedste ide.


pawsen
Antal: 71
Tilmeldt:
22-10-2011
User is offline
#7 Hvordan vil det egentlig

#7

Hvordan vil det egentlig ændre på den traffik Hans ser i sit dump, hvis han kører med en firewall lokalt på computeren?
Hvis der ikke bliver lyttet på de porte der er udsat fra trafik udefra, vil det vel ikke gøre nogen forskel om trafikken bliver afvist af firewall'en der kører lokalt eller blot ikke får noget svar?
Jeg går ikke ud fra der er særlig mange porte åbne på ny installation af mint, hvis nogle overhovedet ( altså services der lytter på specifikke porte).

Det eneste jeg lige kan se han kan bruge en lokal firewall til er at begrænse login-raten, hvis der er services der lytter. Og evt. blokere for specifikke ip'er sammen med brug af fail2ban eller lignende.

Jeg er selvfølgelig med på at det er en god idé med en router m. firewall. Jeg spørger for forståelsen skyld.


julemand101
julemand101's picture
Antal: 1641
Tilmeldt:
17-01-2004
User is offline
#8 Der er måske lige den

#8
Der er måske lige den forskel at hvis du bruger en firewall kan du angive at der ikke skal meldes noget svar tilbage hvis der bliver spurgt på en port der ikke findes. Ligeledes kan du afvise ping signaler og på den måde gøre det lidt sværere at finde ud af om der overhovedet er en computer på en pågældende IP adresse.

Men jo det gør ikke den store forskel med mindre man kører nogle programmer lokalt på computeren som man ikke ønsker der skal kunne oprettes forbindelse til udefra (fx samba og cups (hvor samba måske i dette tilfælde bare kunne slås helt fra)). Fordi der er ingen skade i at give adgang til en port der alligevel ikke er nogen programmer der lytter på.


frogmaster
frogmaster's picture
Antal: 3498
Tilmeldt:
20-05-2010
User is offline
#8#9 har svaret.Port

#8

#9 har svaret.

Port 135, 137-139 og 445 inklusiv 631 eller hvad cups kører med, bør under alle omstændighed være lukket til internettet.

Herunder Wireshark, fra mit redundante netværk med en mobil adapter tilsluttet en Windows maskine der fungerer som router, og hvor en installeret tredjepart Firewall er afbrudt. Der er ialt 6 maskiner tændt på LAN. Torrent er slukket efter et test download fra et site jeg vil kalde rimeligt upålideligt.

https://db.tt/UivwFkrr