<div dir="ltr">Scott,<br><br>What I do to pinpoint traffic identification is run a
software based firewall.&nbsp; I personally use FreeBSD and IPFilter.&nbsp;
However, Linux has options too.&nbsp; In any event, I log all traffic
blocked and then I can determine what ports are being targeted.&nbsp; Once I
have port numbers than I can lookup (via google of course) what
activity normally uses the port(s).&nbsp; In a lot of case I usally find
windows based exploits.<br>
<br>I have even taken this a step further when unpermitted traffic is
high, say many attempts to hit my port 22.&nbsp; I then send an email to the
network&#39;s abuse address and inform them about the issue.<br><br>I get at least one denied packet per minute and sometimes several packets a minute.&nbsp; I sometimes see port walking too.<br>
<br>Good luck,<br>John<br><br><div class="gmail_quote">On Wed, Sep 3, 2008 at 5:30 PM, Scott Castaline <span dir="ltr">&lt;<a href="mailto:hscast@charter.net">hscast@charter.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I&#39;ve suddenly noticed a very high level of activity on my broadband<br>
connection. When I view the logs on my router one IP sticks out,<br>
<a href="http://24.64.254.20" target="_blank">24.64.254.20</a>. nslookup gives: Non-authoritative answer:<br>
20.254.64.24.in-addr.arpa &nbsp; &nbsp; &nbsp; name = <a href="http://S010600161726dd6b.cg.shawcable.net" target="_blank">S010600161726dd6b.cg.shawcable.net</a>.<br>
<br>
Authoritative answers can be found from:<br>
254.64.24.in-addr.arpa &nbsp;nameserver = <a href="http://ns1.so.cg.shawcable.net" target="_blank">ns1.so.cg.shawcable.net</a>.<br>
254.64.24.in-addr.arpa &nbsp;nameserver = <a href="http://ns2.so.cg.shawcable.net" target="_blank">ns2.so.cg.shawcable.net</a>.<br>
<br>
And tracert gives:<br>
<br>
&gt; [root@ncc1701f ~]# tracert <a href="http://24.64.254.20" target="_blank">24.64.254.20</a><br>
&gt; traceroute to <a href="http://24.64.254.20" target="_blank">24.64.254.20</a> (<a href="http://24.64.254.20" target="_blank">24.64.254.20</a>), 30 hops max, 40 byte packets<br>
&gt; &nbsp;1 &nbsp;<a href="http://192.168.11.1" target="_blank">192.168.11.1</a> (<a href="http://192.168.11.1" target="_blank">192.168.11.1</a>) &nbsp;0.469 ms &nbsp;0.601 ms &nbsp;0.755 ms<br>
&gt; &nbsp;2 &nbsp;<a href="http://10.226.128.1" target="_blank">10.226.128.1</a> (<a href="http://10.226.128.1" target="_blank">10.226.128.1</a>) &nbsp;9.591 ms &nbsp;9.616 ms &nbsp;9.771 ms<br>
&gt; &nbsp;3 &nbsp;<a href="http://172.26.102.197" target="_blank">172.26.102.197</a> (<a href="http://172.26.102.197" target="_blank">172.26.102.197</a>) &nbsp;9.766 ms &nbsp;9.906 ms &nbsp;10.024 ms<br>
&gt; &nbsp;4 &nbsp;<a href="http://24-197-160-34.static.gwnt.ga.charter.com" target="_blank">24-197-160-34.static.gwnt.ga.charter.com</a> (<a href="http://24.197.160.34" target="_blank">24.197.160.34</a>) &nbsp;10.808 ms &nbsp;10.810 ms &nbsp;11.011 ms<br>

&gt; &nbsp;5 &nbsp;<a href="http://so-7-0-0.edge2.Atlanta2.Level3.net" target="_blank">so-7-0-0.edge2.Atlanta2.Level3.net</a> (<a href="http://4.78.63.9" target="_blank">4.78.63.9</a>) &nbsp;16.032 ms &nbsp;16.030 ms &nbsp;16.152 ms<br>
&gt; &nbsp;6 &nbsp;<a href="http://ae-72-52.ebr2.Atlanta2.Level3.net" target="_blank">ae-72-52.ebr2.Atlanta2.Level3.net</a> (<a href="http://4.68.103.61" target="_blank">4.68.103.61</a>) &nbsp;20.014 ms <a href="http://ae-73-52.ebr3.Atlanta2.Level3.net" target="_blank">ae-73-52.ebr3.Atlanta2.Level3.net</a> (<a href="http://4.68.103.62" target="_blank">4.68.103.62</a>) &nbsp;12.676 ms <a href="http://ae-72-52.ebr2.Atlanta2.Level3.net" target="_blank">ae-72-52.ebr2.Atlanta2.Level3.net</a> (<a href="http://4.68.103.61" target="_blank">4.68.103.61</a>) &nbsp;15.941 ms<br>

&gt; &nbsp;7 &nbsp;<a href="http://ae-72-70.ebr2.Atlanta2.Level3.net" target="_blank">ae-72-70.ebr2.Atlanta2.Level3.net</a> (<a href="http://4.69.138.19" target="_blank">4.69.138.19</a>) &nbsp;16.202 ms &nbsp;22.283 ms <a href="http://ae-3.ebr2.Chicago1.Level3.net" target="_blank">ae-3.ebr2.Chicago1.Level3.net</a> (<a href="http://4.69.132.73" target="_blank">4.69.132.73</a>) &nbsp;38.718 ms<br>

&gt; &nbsp;8 &nbsp;<a href="http://ae-3.ebr2.Chicago1.Level3.net" target="_blank">ae-3.ebr2.Chicago1.Level3.net</a> (<a href="http://4.69.132.73" target="_blank">4.69.132.73</a>) &nbsp;38.730 ms <a href="http://ae-21-56.car1.Chicago1.Level3.net" target="_blank">ae-21-56.car1.Chicago1.Level3.net</a> (<a href="http://4.68.101.162" target="_blank">4.68.101.162</a>) &nbsp;29.987 ms &nbsp;29.489 ms<br>

&gt; &nbsp;9 &nbsp;<a href="http://ae-21-56.car1.Chicago1.Level3.net" target="_blank">ae-21-56.car1.Chicago1.Level3.net</a> (<a href="http://4.68.101.162" target="_blank">4.68.101.162</a>) &nbsp;29.883 ms &nbsp;39.977 ms &nbsp;39.858 ms<br>
&gt; 10 &nbsp;<a href="http://BIG-PIPE-IN.car1.Chicago1.Level3.net" target="_blank">BIG-PIPE-IN.car1.Chicago1.Level3.net</a> (<a href="http://4.79.208.150" target="_blank">4.79.208.150</a>) &nbsp;40.018 ms <a href="http://rc1nr-pos0-7-0-0.wp.shawcable.net" target="_blank">rc1nr-pos0-7-0-0.wp.shawcable.net</a> (<a href="http://66.163.76.173" target="_blank">66.163.76.173</a>) &nbsp;119.556 ms <a href="http://BIG-PIPE-IN.car1.Chicago1.Level3.net" target="_blank">BIG-PIPE-IN.car1.Chicago1.Level3.net</a> (<a href="http://4.79.208.150" target="_blank">4.79.208.150</a>) &nbsp;32.356 ms<br>

&gt; 11 &nbsp;<a href="http://rc2nr-pos14-0.wp.shawcable.net" target="_blank">rc2nr-pos14-0.wp.shawcable.net</a> (<a href="http://66.163.76.173" target="_blank">66.163.76.173</a>) &nbsp;119.644 ms <a href="http://rc1so-pos14-0-0.cg.shawcable.net" target="_blank">rc1so-pos14-0-0.cg.shawcable.net</a> (<a href="http://66.163.77.157" target="_blank">66.163.77.157</a>) &nbsp;87.529 ms <a href="http://rc1nr-pos0-7-0-0.wp.shawcable.net" target="_blank">rc1nr-pos0-7-0-0.wp.shawcable.net</a> (<a href="http://66.163.76.173" target="_blank">66.163.76.173</a>) &nbsp;81.661 ms<br>

&gt; 12 &nbsp;<a href="http://rc1so-pos14-0-0.cg.shawcable.net" target="_blank">rc1so-pos14-0-0.cg.shawcable.net</a> (<a href="http://66.163.77.157" target="_blank">66.163.77.157</a>) &nbsp;102.119 ms &nbsp;86.584 ms &nbsp;90.816 ms<br>
&gt; 13 &nbsp;<a href="http://rd1so-ge2-0-0.cg.shawcable.net" target="_blank">rd1so-ge2-0-0.cg.shawcable.net</a> (<a href="http://66.163.71.78" target="_blank">66.163.71.78</a>) &nbsp;90.886 ms &nbsp;91.067 ms <a href="http://dx1ok-g1.cg.shawcable.net" target="_blank">dx1ok-g1.cg.shawcable.net</a> (<a href="http://64.59.140.249" target="_blank">64.59.140.249</a>) &nbsp;92.241 ms<br>

&gt; 14 &nbsp;<a href="http://dx1ok-g1.cg.shawcable.net" target="_blank">dx1ok-g1.cg.shawcable.net</a> (<a href="http://64.59.140.249" target="_blank">64.59.140.249</a>) &nbsp;97.235 ms &nbsp;92.374 ms *<br>
&gt; 15 &nbsp;* * *<br>
&gt; 16 &nbsp;* * *<br>
&gt; 17 &nbsp;* * *<br>
&gt; 18 &nbsp;* * *<br>
&gt; 19 &nbsp;* * *<br>
&gt; 20 &nbsp;* * *<br>
&gt; 21 &nbsp;* * *<br>
&gt; 22 &nbsp;* * *<br>
&gt; 23 &nbsp;* * *<br>
&gt; 24 &nbsp;* * *<br>
&gt; 25 &nbsp;* * *<br>
&gt; 26 &nbsp;* * *<br>
&gt; 27 &nbsp;* * *<br>
&gt; 28 &nbsp;* * *<br>
&gt; 29 &nbsp;* * *<br>
&gt; 30 &nbsp;* * *<br>
<br>
I do not have anything going on other than ntpd and I do remain logged<br>
into my iGoogle account as well as <a href="http://weather.com/gold" target="_blank">weather.com/gold</a> and I was logged<br>
into Fedora Forums. Nothing else. Why would I be receiving traffic from<br>
Shaw Cable in (if memory serves me ) Toronto Canada? It seems mostly UDP<br>
packets. Is there anything else that I can use to see what&#39;s really<br>
going on?<br>
_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>John Clinton<br><a href="mailto:john@mysnmp.org">john@mysnmp.org</a><br>Mobile: 404.200.7333<br>
</div>