Hadyai Internet R&D LAB

ผลงานของ Hadyai Internet R&D LAB => คุยกับทีมวิจัย => ข้อความที่เริ่มโดย: zuneenet ที่ 04 เมษายน 2009, 20:24:01

หัวข้อ: ผมมีปัญหาต้องการคำชี้แนะครับ แจ้ง admin เพิ่มเติม
เริ่มหัวข้อโดย: zuneenet ที่ 04 เมษายน 2009, 20:24:01

สวัสดีครับทุกๆท่าน

ผมมีปัญหาดังนี้ครับ

ผมใช้คำสั่ง iftop - i eth0 เพื่อตรวจสอบการใช้งาน ผมพบว่า มีการรับส่งข้อมูลจาก cds271.lax.llnw.net บางครั้งก็จะเป็น cds712.lax.llnw.net (ตัวเลขจะเปลี่ยนไปมา ไม่คงที่ cdsXXX.lax.llnw.net) มายังหลายๆ Client ภายในร้าน ซึ่งบางครั้งจะใช้แบนด์วิธ 100k - 1M ไม่แน่นอน

ผมจึงใช้คำสั่ง checkwan.pl เพื่อตรวจสอบว่า Client ที่เกิดปัญหามีการใช้งานอย่างไร ผลปรากฎว่า
เครื่องที่  protocol        source                  destination              sport           dport
6           tcp           192.168.1.6             64.4.34.133             1055            1863
17         tcp           192.168.1.17            64.4.34.55              1397            1863 
21         tcp              192.168.1.21            64.4.34.98              1102            1863   

มีข้อสังเกตดังนี้
1.จะใช้งานผ่าน destination 64.4.34.xxx   dport 1863
2.เครื่อง Client ที่เกิดปัญหาทุกเครื่องจะใช้ MSN แต่บางเครื่องที่ใช้ MSN ก็ไม่เกิดปัญหานะครับ


อยากจะสอบถามดังนี้ครับ
1.ปัญหาดังกล่าวเกิดจากไวรัส หรือการใช้งานผ่าน msn หรืออื่นๆครับ
2.มีวิธีแก้ไขเช่น Block ip หรือ Block port ได้หรือไม่

รบกวนขอคำชี้แนะจากทุกๆท่านด้วยครับ

ขอบคุณมากครับ

หัวข้อ: Re: ผมมีปัญหาต้องการคำชี้แนะครับ
เริ่มหัวข้อโดย: admin ที่ 05 เมษายน 2009, 16:31:31

ถ้าตรวจสอบดู เครื่องต่าง ๆ ใช้ MSN ปกติ

NetRange:   64.4.0.0 - 64.4.63.255
CIDR:       64.4.0.0/18

OrgName:    MS Hotmail
OrgID:      MSHOTM
Address:    One Microsoft Way
City:       Redmond
StateProv:  WA
PostalCode: 98052
Country:    US

เป็น IP ของ Microsoft ปกติ

แต่ cds712.lax.llnw.net นั้น  เมื่อทำการ Resolve แล้ว จะได้

Non-authoritative answer:
Name:   cds271.lax.llnw.net
Address: 208.111.145.51

เมื่อตรวจสอบพบว่า เป็นกลุ่ม IP อีกกลุ่มนึง

NetRange:   208.111.128.0 - 208.111.191.255
CIDR:       208.111.128.0/18
OriginAS:   AS22822
NetName:    LLNW-3

ลองทำการ Block กลุ่ม IP 208.111.128.0/18  ดูครับ น่าจะช่วยแก้ปัญหาได้ระดับนึง

โดยทำการเพิ่มใน /etc/squid/squid.conf

ตรงบรรทัด

acl blockweb dst 208.73.212.0/24 121.10.104.0/24 208.111.128.0/18

เสร็จแล้วก็ทำการ /etc/init.d/squid reload

ลองดูนะครับ

หัวข้อ: Re: ผมมีปัญหาต้องการคำชี้แนะครับ
เริ่มหัวข้อโดย: zuneenet ที่ 05 เมษายน 2009, 22:10:45

ขอบคุณมากครับ

ตอนนี้ใส่ตามที่ admin บอกแล้วครับ

ได้ผลประการใดจะรายงานให้ทราบครับ

 :)

หัวข้อ: Re: ผมมีปัญหาต้องการคำชี้แนะครับ
เริ่มหัวข้อโดย: zuneenet ที่ 09 เมษายน 2009, 18:03:45

เรียน admin
แจ้งเพิ่มเติมกรณีที่ admin ให้แก้ไขตามที่แนะนำ ผลปรากฎว่า ก็ยังมีปัญหาเช่นเดิมครับ

มีการรับส่งข้อมูลจาก cds721.lax.llnw.net, cds320.lax.llnw.net, cds599.lax.llnw.net


อยากสอบถามดังนี้ครับ
1.วิธีการ resolve ทำอย่างไรครับ ผมจะได้ทราบ ip และ block ip จะได้ไม่ต้องรบกวน admin บ่อยๆ
2. มีวิธี block port หรือไม่ครับ
 

หัวข้อ: Re: ผมมีปัญหาต้องการคำชี้แนะครับ แจ้ง admin เพิ่มเติม
เริ่มหัวข้อโดย: admin ที่ 09 เมษายน 2009, 19:05:47

วิธีการ Resolve เช็ค IP ทำโดย

nslookup <ชื่อ host>

วิธีการ ตรวจสอบ เจ้าของ IP ทำโดย

whois <หมายเลข IP>

เช่น

root@Ubuntu:~# nslookup cds721.lax.llnw.net
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   cds721.lax.llnw.net
Address: 208.111.144.211

เมื่อได้ IP มาก็ทำการ Whois ดูครับ

root@Ubuntu:~# whois 208.111.144.211


OrgName:    Limelight Networks, Inc.
OrgID:      LLNW
Address:    2220 W. 14th Street
City:       Tempe
StateProv:  AZ
PostalCode: 85281
Country:    US

ReferralServer: rwhois://rwhois.llnw.net:4321/

NetRange:   208.111.128.0 - 208.111.191.255
CIDR:       208.111.128.0/18
OriginAS:   AS22822
NetName:    LLNW-3
NetHandle:  NET-208-111-128-0-1
Parent:     NET-208-0-0-0-0
NetType:    Direct Allocation
NameServer: DNS.LAX.LLNS.NET
NameServer: DNS.LGA.LLNS.NET
NameServer: DNS.SJC.LLNS.NET
NameServer: DNS.IAD.LLNS.NET
Comment:    *** All abuse complaints must go to abuse (at)
Comment:    limelightnetworks.com
Comment:    Network reassignments available via rwhois.llnw.net:4321
RegDate:    2006-03-30
Updated:    2009-02-18

RAbuseHandle: LNAD-ARIN
RAbuseName:   Limelight Networks Abuse Dept
RAbusePhone:  +1-602-850-5095
RAbuseEmail:  ipadmin@limelightnetworks.com

RTechHandle: LNAA-ARIN
RTechName:   Limelight Networks ARIN Admin
RTechPhone:  +1-602-850-5095
RTechEmail:  arinadmin@limelightnetworks.com

OrgAbuseHandle: LNAD-ARIN
OrgAbuseName:   Limelight Networks Abuse Dept
OrgAbusePhone:  +1-602-850-5095
OrgAbuseEmail:  ipadmin@limelightnetworks.com

OrgTechHandle: LNAA-ARIN
OrgTechName:   Limelight Networks ARIN Admin
OrgTechPhone:  +1-602-850-5095
OrgTechEmail:  arinadmin@limelightnetworks.com

# ARIN WHOIS database, last updated 2009-04-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.


Found a referral to rwhois.llnw.net:4321.

%rwhois V-1.5:003eff:00 rwhois.llnw.net (by Network Solutions, Inc. V-1.5.9.6)
network:Class-Name:network
network:ID:208.111.144.0/24
network:Network-Name:NET-208-111-144-0-24
network:IP-Network:208.111.144.0/24
network:Auth-Area:208.111.128.0/18
network:Tkt-Req:none
network:Org-Name:Limelight Networks LAX CDN Network
network:Street-Address:2220 W. 14th Street
network:City:Tempe
network:State:AZ
network:Postal-Code:85281
network:Country-Code:US
network:Tech-Contact;I:ipadmin@llnw.com
network:Created:20070117
network:Updated:20070117
network:Updated-By:rwhois@llnw.com

%ok

จะทำให้เราทราบกลุ่มของ IP ชุดนี้ พร้อมกับผู้ที่ดูแล

หัวข้อ: Re: ผมมีปัญหาต้องการคำชี้แนะครับ แจ้ง admin เพิ่มเติม
เริ่มหัวข้อโดย: zuneenet ที่ 09 เมษายน 2009, 22:17:47

ถามเพิ่มเติมครับ

กรณีที่ admin ให้ block ใน squid  ก็ได้ทดลองทำตามแล้ว แต่ไม่ได้ผล คิดว่าปัญหาน่าจะมาจากเครื่องที่ใช้งาน msn ซึ่งผมได้ลอง service squid stop  ผลคือ ie ไม่สามารถใช้งานได้ แต่ msn ก็ยังใช้งานได้ตามปกติ คิดว่าน่าจะเป็นสาเหตุที่ทำให้ ไม่สามารถ block การรับส่งข้อมูลดังกล่าวได้
 
ไม่ทราบว่าท่าน admin มีคำแนะนำในการแก้ปัญหานี้อีกหรือไม่ครับ