---

Jeg har et wespeed 4M/512k abonnement med flg. setup:

Motorola Surfboard SB5100 modem
|
Linksys WRT54G router (Sveasoft Alchemy firmware)
| |
| Sipura SPA-2000 IP telefoni adapter
|
Stationær PC koblet op med kabel

Desuden har jeg en bærbar PC med trådløs forbindelse.

Problemet er at selv når mine enheder ikke genererer noget trafik, så er
der alligevel en del inkommende trafik på routeren. På min WRT54G router
kan jeg se at det løber op i 50-60 MB indkommende trafik i døgnet, som
jeg ikke har nogen anelse om hvor kommer fra og hvorfor.

Når jeg kigger i loggen på min router kan jeg se at der næsten altid er
indkommende trafik fra 10.58.0.1 på port 68 UDP (bootpc) som er hoppet
lige efter min router og altså må ligge på TDC KabelTV's net. Jeg
formoder dette bare er DHCP trafik? Udover denne trafik som næsten hele
tiden er der, så er der bare tilfældige portscanninger fra kinesiske IP
adresser ind i mellem, men jeg synes ikke dette burde løbe op i så mange
MB trafik på en dag?

Er der nogen der har gode forslag eller henvisninger til
metoder/programmer jeg kan bruge til at finde ud af præcis hvor denne
trafik stammer fra?

Mvh. Bent

---

Bent <bents_trashcan*takeout*@webspeed.dk> crashed Echelon writing
news:42d25d15$0$40667$edfadb0f@dread11.news.tele.dk:

> Når jeg kigger i loggen på min router kan jeg se at der næsten altid er
> indkommende trafik fra 10.58.0.1 på port 68 UDP (bootpc) som er hoppet
> lige efter min router og altså må ligge på TDC KabelTV's net.

Jeg har på en måde svært ved at se at det skulle være TDC. 10.58.0.1 er
privat subnet, og jeg regner ikke med TDC bruger dette ud til slutkunderne.
Hvilken IPer har din router, både på WAN men osse på LAN siden?

> Jeg
> formoder dette bare er DHCP trafik? Udover denne trafik som næsten hele
> tiden er der, så er der bare tilfældige portscanninger fra kinesiske IP
> adresser ind i mellem, men jeg synes ikke dette burde løbe op i så mange
> MB trafik på en dag?

Muligvis ikke, men det ville da være rart hvis du kunne se hvor meget og
hvor lidt af dataene som er det ene eller det andet.

> Er der nogen der har gode forslag eller henvisninger til
> metoder/programmer jeg kan bruge til at finde ud af præcis hvor denne
> trafik stammer fra?

Du kan gøre det stort og småt.

Du sidder bag en NAT router formoder jeg, så forward alle portene til en
bestemt maskine smid en ethereal op og prøv så vidt muligt selv at genere
trafik og se hvad der kommer af data.

Alternativt, smid en hub mellem modem og router, en maskine med ethereal i
promiscuous mode og sniff løs (hvis du kun får én IP til rådighed af TDC er
det nok en god idé lige at give maskinen fast IP i privat subnet).

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:
>
> Jeg har på en måde svært ved at se at det skulle være TDC. 10.58.0.1 er
> privat subnet, og jeg regner ikke med TDC bruger dette ud til slutkunderne.
> Hvilken IPer har din router, både på WAN men osse på LAN siden?

Jeg kan ikke se at det skulle være andet end TDC. De bruger vel bare et
privat subnet før man routes ud til internettet? Anyway, mit router har
IP 192.168.2.1 og tildeler adresser mellem 192.168.2.100 og .149 til
klienterne. Web-interfacet på Motorola Surfboard modemmet kan tilgås fra
LAN siden på IP 192.168.100.1. En tracert fra mig til www.dix.dk giver:

1 1 ms <1 ms <1 ms WRT54G.local [192.168.2.1]
2 8 ms 7 ms 7 ms 10.58.0.1
3 9 ms 9 ms 8 ms 10.250.0.97
4 9 ms 8 ms 10 ms ge-0-3-0-103.180m.taanxj1.ip.tele.dk
[62.242.0.153]
5 9 ms 9 ms 10 ms so-1-2-3.622m.albnxu1.ip.tele.dk
[195.249.7.66]
6 14 ms 14 ms 12 ms pos3-0.2488m.arcnxg2.ip.tele.dk
[83.88.13.9]
7 14 ms 13 ms 14 ms so-0-0-0.622m.arcnxj2.ip.tele.dk
[83.88.12.26]
8 15 ms 13 ms 13 ms pos3-0.skej1-core-oc48.dk.tele2.com
[195.215.109.62]
9 19 ms 13 ms 13 ms srp9-0.val2-core.dk.tele2.com
[130.227.247.50]
10 13 ms 27 ms 19 ms ge49.val-srv2b-core.dk.tele2.com
[130.227.247.38]
11 15 ms 31 ms 30 ms 129.142.249.234
12 14 ms 19 ms 13 ms vhostip.hugin6.webhotel.net.uni-c.dk
[130.228.2.98]

> Du kan gøre det stort og småt.
>
> Du sidder bag en NAT router formoder jeg, så forward alle portene til en
> bestemt maskine smid en ethereal op og prøv så vidt muligt selv at genere
> trafik og se hvad der kommer af data.
>
> Alternativt, smid en hub mellem modem og router, en maskine med ethereal i
> promiscuous mode og sniff løs (hvis du kun får én IP til rådighed af TDC er
> det nok en god idé lige at give maskinen fast IP i privat subnet).

Jeg vil kigge nærmere på Ethereal og se om det kan bringe mig nærmere et
svar. Tak for tippet.

Mvh. Bent

---

Bent <bents_trashcan*takeout*@webspeed.dk> crashed Echelon writing
news:42d26774$0$14486$edfadb0f@dread11.news.tele.dk:

> Jeg kan ikke se at det skulle være andet end TDC. De bruger vel bare et
> privat subnet før man routes ud til internettet? Anyway, mit router har
> IP 192.168.2.1 og tildeler adresser mellem 192.168.2.100 og .149 til
> klienterne.

Jeg er ikke bekendt med at TDC skulle anvende central gateway dog kan det
jo være at jeres boligblok har speciel løwning fra TDC?

I hvert fald hvis de gør, så skal de jo osse stå for noget NAT ud til dig?

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:

>>Jeg kan ikke se at det skulle være andet end TDC. De bruger vel bare et
>>privat subnet før man routes ud til internettet?

> Jeg er ikke bekendt med at TDC skulle anvende central gateway dog kan det
> jo være at jeres boligblok har speciel løwning fra TDC?

Det er korrekt, at TDC benytter private adresser på kabelsiden. (Der
benyttes ikke NAT). Kabelmodemet har en LAN og WAN/kabel side. På WAN
siden benyttes 10.x.x.x adresser.

Trafik genereret af PCen bliver encapsulated i IP pakker på kabelnettet.

---

jamen <jamen@invalid> crashed Echelon writing
news:42d26ead$0$164$edfadb0f@dtext02.news.tele.dk:

> Det er korrekt, at TDC benytter private adresser på kabelsiden. (Der
> benyttes ikke NAT). Kabelmodemet har en LAN og WAN/kabel side. På WAN
> siden benyttes 10.x.x.x adresser.

De er da nødt til at bruge NAT et eller andet sted, da private subnets ikke
er tilgængelige fra internettet af?

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:

> De er da nødt til at bruge NAT et eller andet sted, da private subnets ikke
> er tilgængelige fra internettet af?

De adresser er heller ikke synlige fra internettet. Men trafikken
routeres over et privat subnet fra internettet og ud til os

---

On Mon, 11 Jul 2005 13:10:50 +0000, Bjarke Andersen wrote:

> jamen <jamen@invalid> crashed Echelon writing
> news:42d26ead$0$164$edfadb0f@dtext02.news.tele.dk:
>
>> Det er korrekt, at TDC benytter private adresser på kabelsiden. (Der
>> benyttes ikke NAT). Kabelmodemet har en LAN og WAN/kabel side. På WAN
>> siden benyttes 10.x.x.x adresser.
>
> De er da nødt til at bruge NAT et eller andet sted, da private subnets
> ikke er tilgængelige fra internettet af?

Nejda.

Der er ingen problemer i at du router fra en ip til en anden via et
private-range.
Det eneste der er behov for at vide er hvilken IP der skal sendes til.
Når pakken kommer ind i isp'ens net sender routeren blot pakken videre
til den næste router ud fra de routing tables der er lavet. Her er der
ingen forskel på 1.2.3.4, 10.10.10.10 eller 2.3.4.5

Eneste forskel er at de mellemliggende routere som ligger i private range
ikke kan tilgåes ud fra den store verden, og hvorfor skulle de egentlig
også det? De er jo blot "tilfældige" interne enheder som blot sender
trafikken videre

/Henning

---

Henning Wangerin <news_via_pan+041124@hpc.dk> crashed Echelon writing
news:pan.2005.07.11.17.42.21.296132@hpc.dk:

> Der er ingen problemer i at du router fra en ip til en anden via et
> private-range.
> Det eneste der er behov for at vide er hvilken IP der skal sendes til.

Ergo funktionen NAT. For en server i USA ved hvordan den skal komme tilbage
til Bent kender den kun ydersiden som TDC sætter. TDC må jo så route den
kommende trafik videre til privat subnet gennem NAT.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:

> Ergo funktionen NAT. For en server i USA ved hvordan den skal komme tilbage
> til Bent kender den kun ydersiden som TDC sætter. TDC må jo så route den
> kommende trafik videre til privat subnet gennem NAT.

Bent har stadig en offentlig IP. Så der er ingen behov for NAT.

Når pakken når TDC, bliver den routed over et netværk med private adresser.

Jeg har IPen 195.215.114.20

D:\>tracert -d google.dk

1 24 ms 7 ms 6 ms 192.168.0.1
2 309 ms 170 ms 116 ms 10.60.0.1
3 23 ms 39 ms 18 ms 10.250.0.17
4 16 ms 26 ms 522 ms 62.242.105.253

hop 1 er min router, som har 195.215.114.20 på WAN
hop 2 og 3 er TDCs kabelnet

---

On Mon, 11 Jul 2005 18:27:46 +0000, Bjarke Andersen wrote:

> Henning Wangerin <news_via_pan+041124@hpc.dk> crashed Echelon writing
> news:pan.2005.07.11.17.42.21.296132@hpc.dk:
>
>> Der er ingen problemer i at du router fra en ip til en anden via et
>> private-range.
>> Det eneste der er behov for at vide er hvilken IP der skal sendes til.
>
> Ergo funktionen NAT.

Nej for adressen der sendes til er en helt almindelig, offentlig IP.

> For en server i USA ved hvordan den skal komme
> tilbage til Bent kender den kun ydersiden som TDC sætter.

Den kender den ikke engang. Serveren i USA kender kun bents adresse, og
sin egen gateway, dvs hvilken router på sit eget net den skal sende den
videre.
Denne router kender også kun bents IP og hvem den næste i kæden er.

På et tidspunkt havner den så hos TDCs border-router.

> TDC må jo så
> route den kommende trafik videre til privat subnet gennem NAT.

Nej. border routeren sender den bare videre til en ny router som ved endnu
mere præcist hvor den skal hen.

IPerne på de mellemliggende routere er sådan set uinteresante. Det
eneste der er vigtigt er Bents IP, og det faktum at alle enheder ved hvem
de skal aflevere pakker til som de ikke selv kan aflevere direkte.

Det virker lidt ligesom PostDanmark når du sender et brev til mig fra fx
København til mig i Sønderborg:

1) du putter brevet i postkassen
2) der kommer et postbud og tømmer postkassen, og han sorterer indholdet.
Posten i københavn kan ikke aflevere det direkte til mig, så han putter
det i en postsæk til jylland (fx århus).
3) Et sted i jylland er der et nyt postbud som kigger på brevet, og ser
at Sønderborg ikke ligger ved århus, med i sønderjylland, så i en ny
post sæk med kur mod sønderjylland.
4) I kolding kigger de igen på brevet, og tilbage i en sæk med kurs mod
Sønderborg.
5) I Sønderborg se de at den er kommer til den rigtige by (sammenlign
med ISP), og smider den i stakken der skal ud til min lille landsby.
6) Budet der skal herud sortere brevet efter adresse og husnummer, og
putter det i sin taske.
7) Undervejs på ruten kommer budet forbi min postkasse og putter det i mi
postkasse.

Det eneste der har være brugt under hele turen er min adresse og den
næste forhåbenlig ved lidt bedre hvor mit brev skal hen. Helt ligesom
routen på en IP-pakke.

- og ja det påstås at PostDanmark er blevet lidt mere effektive i
sorteringen end ovenstående

/henning

---

Henning Wangerin <news_via_pan+041124@hpc.dk> crashed Echelon writing
news:pan.2005.07.11.19.07.43.657913@hpc.dk:

> Nej for adressen der sendes til er en helt almindelig, offentlig IP.

Hvordan kommer trafikken så fra TDCs offentlige IP over i privat range og
så over i public igen.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:

> Hvordan kommer trafikken så fra TDCs offentlige IP over i privat range og
> så over i public igen.

Når pakker routes, er der ingen forskel overhovedet på offentlige og
private adresser.

Den eneste forskel er, at de private ikke får lov at krydse en internet
gateway.

Når pakken først er inde i TDCs net, er der frit valg hvilke ip adresser
deres routere bliver tildelt igennem netværket.


F.eks.:

TDC router 1:
Interface 1: offentlig (her kommer trafikken fra internettet)
Interface 2: privat

TDC router 2:
Interface 3: privat
Interface 4: offentlig

Bent:
PC Interface: offentlig

Der er ingen problemer i, at subnettet mellem de to routere er privat.

---

jamen <jamen@invalid> crashed Echelon writing
news:42d2d921$0$168$edfadb0f@dtext02.news.tele.dk:

> Når pakker routes, er der ingen forskel overhovedet på offentlige og
> private adresser.

Damn er det varmt? Faktisk begynder hele lortet sgu at dæmre nu, og jeg
fatter ikke jeg har siddet og skreget NAT de sidste 10 indlæg. I har ret
jeg tog fejl.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

On Mon, 11 Jul 2005 20:21:19 +0000, Bjarke Andersen wrote:

> Henning Wangerin <news_via_pan+041124@hpc.dk> crashed Echelon writing
> news:pan.2005.07.11.19.07.43.657913@hpc.dk:
>
>> Nej for adressen der sendes til er en helt almindelig, offentlig IP.
>
> Hvordan kommer trafikken så fra TDCs offentlige IP over i privat range og
> så over i public igen.

Ingen problem.

Routeren som forbinder til andre udbydere ved at for at aflevere en pakke
til Bent, skal den afleveres til en "hemmelig" router. Denne router ved
så hvordan den afleverer den videre til Bent.

Det samme sker den modsatte vej, selvom det ikke nødvendigvis er den
samme router der håndterer den udgående trafik.

For at blive i min Postmand Per historie fra tidligere, så svarer det
bare til at du ikke har nogen muligheder for at aflevere et brev direkte
til en af postbudene på ruten, men han ved stadigvæk hvor han skal sende
brevet videre for at det ender der rigtige sted.
Du har som afsender eller modtager jo heller ikke behov for at kunne
kontakte det enkelte postbud som håndterer dine breve. Er der et problem
kontakter du "firmaet", som så er i stand til at kontakte budet hvis det
skulle være nødvendigt.

PÅ samme måde behøver du heller ikke bekymre dig om hvordan din
IP-pakke kommer til serveren i langtbortistan når du "stopper" den ind i
stikket på din internet forbindelse. Du håber/regner bare med at den
når frem hurtigst muligt - ligesom brevet du afleverer i postkassen

/Henning

---

Henning Wangerin wrote:

> Ingen problem.
>
> [...]

Er du pædagog?
:)

---

On Mon, 11 Jul 2005 23:57:23 +0200, jamen wrote:

> Henning Wangerin wrote:
>
>> Ingen problem.
>>
>> [...]
>
> Er du pædagog?

Nej, men har skulle forklare mange forskellige tekniske ting for brugere
som egentlig ikke ved hvad der foregør i en pc

Hvad folk nogle gange forventer at have bruge for at forstå er helt
ufatteligt

/Henning

---

Bent wrote:
> Jeg har et wespeed

> Problemet er at selv når mine enheder ikke genererer noget trafik, så er
> der alligevel en del inkommende trafik på routeren. På min WRT54G router
> kan jeg se at det løber op i 50-60 MB indkommende trafik i døgnet, som
> jeg ikke har nogen anelse om hvor kommer fra og hvorfor.

Jeg har lige haft min sniffer kørende i 15 minutter. Dette indløb:

24757 ARP pakker (64 bytes stykket)
251 DHCP pakker (ca. 388 bytes stykket)

Det giver en del trafik over et helt døgn

---

jamen wrote:
>
> Jeg har lige haft min sniffer kørende i 15 minutter. Dette indløb:
>
> 24757 ARP pakker (64 bytes stykket)
> 251 DHCP pakker (ca. 388 bytes stykket)
>
> Det giver en del trafik over et helt døgn

OK. Hvis jeg ellers har regnet rigtigt giver alene ARP pakkerne ca. 145
MB trafik på et døgn. Det må være sådan noget jeg ser i min trafik
statistik.

Har lige prøvet at sætte min stationære PC op i routerens DMZ og
samtidig køre Ethereal på den. Der var intet usædvanligt at se (bortset
fra et par scans på port 1026, sikkert fra Kina). Jeg kunne ikke se
noget trafik fra 10.58.0.1, men det er vel fordi det er DHCP trafik til
routeren og derfor ikke kommer videre til min PC?

Mvh. Bent

---

Bent <bents_trashcan*takeout*@webspeed.dk> crashed Echelon writing
news:42d2794f$0$41106$edfadb0f@dread11.news.tele.dk:

> OK. Hvis jeg ellers har regnet rigtigt giver alene ARP pakkerne ca. 145
> MB trafik på et døgn. Det må være sådan noget jeg ser i min trafik
> statistik.

Godt TDC KabelTV ikke leverer det som forbrugsafregnet.

> Har lige prøvet at sætte min stationære PC op i routerens DMZ og
> samtidig køre Ethereal på den. Der var intet usædvanligt at se (bortset
> fra et par scans på port 1026, sikkert fra Kina). Jeg kunne ikke se
> noget trafik fra 10.58.0.1, men det er vel fordi det er DHCP trafik til
> routeren og derfor ikke kommer videre til min PC?

Hvad er IPen da på dine Kinesiske portscans?

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:
>
> Hvad er IPen da på dine Kinesiske portscans?
>
Der er flere, f.eks.:

61.242.138.231
220.168.143.204
61.236.104.185

De plejer at sende på port 1026 og 1027. Så vidt jeg kan se ud fra
søgninger på Google er det messenger spam der sendes på UDP port 1026 og
1027.

Mvh. Bent