How to become an author
Search
Write a publication
Pull to refresh

Comments 11

«Дорогой» админ будет дешевле, имхо
This comment wasn’t rated yet0
Погодите, я правильно понимаю, что тут заново изобретают IDS?
Total votes 2: ↑2 and ↓0+2
Красный маркер это пример НСА. В данном случае признаком является то, что ни адрес источника ни адрес назначения не принадлежат ЗС.… Каким образом прилетает этот трафик я пока не разобрался.

Это мультикаст-траффик.

This comment wasn’t rated yet0
Вот мультикастовый диапазон:
Сеть: 224.0.0.0 / 4
Минимальный IP: 224.0.0.1
Максимальный IP: 239.255.255.254
This comment wasn’t rated yet0
Ну и? Там 225-я сеть. 224 < 225 < 239
This comment wasn’t rated yet0
Да, но какое это имеет отношение к адресу 91.122.49.173?
Насколько я понимаю порт должен быть подписан на IGMP группу чтобы в него лился этот трафик. Иначе это броадкаст. И в это время не наблюдается активности по IGMP.
This comment wasn’t rated yet0
Я не знаю всех деталей, чтобы ответить на заданный вопрос. IGMP мог быть выполнен ранее. IGMP — протокол сетевого уровня, наравне с IP, и вы его можете вообще не фильтровать, сосредоточившись только на IP. Да мало ли что. Вы спросили про красный маркер — я ответил.
This comment wasn’t rated yet0
Ok. Спасибо. Вы мне подали отличную идею -ловить подписки на мультикаст.
This comment wasn’t rated yet0

посмтрите вначале вайршарком, что именно валится в этом UDP-мултикасте.

This comment wasn’t rated yet0

У меня есть объяснение — почему к Вам добирается левый трафик.
Все адреса после 224.0.0.0 используются для служебных целей.
225 сеть — скорей всего multicast трафик, возможно цифровое телевидение.

This comment wasn’t rated yet0
Не возможно, а это точно мультикаст, судя по адресации.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr