Strani pacchetti in transito sulla mia connessione: chiarimento

[gommosgol]

Allora, visto che non ho nulla da fare, ho installato Wireshark e ho iniziato a autosniffare i pacchetti della mia connessione (inutilità ). Ho iniziato a controllare l'interfaccia ppp0 (su GNU/Linux, è il nome dell'interfaccia di rete che per prima viene usata nelle connessioni dial-up dei modem, per chi non lo sapesse) e, fra i numerosi pacchetti in transito, fra vari tcp, html, udp, msnms, icmp,... ho n otato qualcosa che non avrei affatto pensato di vedere:

Codice:

8010	788.102851	78.12.137.10	79.37.38.61	eDonkey	Kademlia UDP: KADEMLIA2_REQ

Che ci faceva una richiesta della rete eDonkey e del Kad di emule sulla mia connessione, quando non avevo aperto alcun programma di P2P? La cosa non mi è piaciuta affatto, qualcuno può sapere il perchè?

[Iron84]

varie ipotesi:
1) avevi usato in precedenza un programma p2p (ma immagino di no, ci saresti arrivato da solo)
2) il tuo ISP ti da un IP "semi-statico" (della serie "è dinamico, ma finisce per darmi quasi sempre lo stesso) e la rete Kad si ricorda del tuo IP e ogni tanto ti sonda
3) Kad è un flooder e sonda tutta internet in modo indiscriminato (in fondo è un p2p decentralizzato, magari funziona cos&#236

[gommosgol]

Ho alice, e ho ip dinamico. Ieri sera quei pacchetti non c'erano

[devilheart]

quando succede prova a vedere che processi sono in ascolto sul socket con netstat

[gommosgol]

Strano. Ora non ci sono più. La cosa mi piace ben poco.

[Iron84]

quando succede prova a vedere che processi sono in ascolto sul socket con netstat

se il pacchetto non è per lui dubito ci sia un socket pronto a raccoglierlo, immagino sia stato sniffato a livello datalink e scartato a livello trasporto..

[gommosgol]

Si, ma il quesito è: che ci faceva in ppp0 quel pacchetto?

[devilheart]

se il pacchetto non è per lui dubito ci sia un socket pronto a raccoglierlo, immagino sia stato sniffato a livello datalink e scartato a livello trasporto..

non importa, per qualche minuto resta comunque traccia di pacchetti che tentano di instaurare una connessione, anche con un socket inesistente
comunque potresti sempre scoprire di avere un socket in ascolto senza saperlo

Si, ma il quesito è: che ci faceva in ppp0 quel pacchetto?

l'ipotesi più probabile è che la rete kad ha tentato di vedere se sei un nodo attivo

[miniBill '90]

magari qualcuno voleva fare bootstraping ed ha sbagliato ip, mettendo il tuo

[gommosgol]

magari qualcuno voleva fare bootstraping ed ha sbagliato ip, mettendo il tuo

Si, questo potrebbe essere probabile. Anche se di solito il bootstrap si fa da client attivi su Kadmelia, magari tracciati via ed2k, e non va avanti per ore
Poi, ho notato che c'è una grande quantità di pacchetti TCP che sono abbastanza corrotti, o comunque con l'ACK danneggiato, pacchetti ritrasmessi, ... E ce ne sono veramente molti! Perchè?

[devilheart]

Si, questo potrebbe essere probabile. Anche se di solito il bootstrap si fa da client attivi su Kadmelia, magari tracciati via ed2k, e non va avanti per ore

puoi anche specificare un ip manualmente per fare il bootstrap

Poi, ho notato che c'è una grande quantità di pacchetti TCP che sono abbastanza corrotti, o comunque con l'ACK danneggiato, pacchetti ritrasmessi, ... E ce ne sono veramente molti! Perchè?

su che porte sono?

[gommosgol]

puoi anche specificare un ip manualmente per fare il bootstrap
su che porte sono?

Lo so, ma di solito lo fanno veramente in pochi. I pacchetti corrotti escono da dozzine di porte diverse.