UDP ping с mail.ru?

Question

[Dyr]

Кто-нибудь может пояснить, что и почему пытается понять mail.ru, засылаяя на линуксовую машину нижеприведённые пакеты? На машине (Ubuntu 10.10 Desktop) разумеется, отсутствуют всякие «мэйлрушечки» — агенты и прочая хрень.


Для краткости заменил свой ip словом «Я».

# tcpdump -nttti em0 host 94.100.186.16<br/>
<br/>
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br/>
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes<br/>
00:00:00.000000 IP 94.100.186.16.16075 &gt; Я.40477: UDP, length 52<br/>
00:00:00.001806 IP Я &gt; 94.100.186.16: ICMP Я udp port 40477 unreachable, length 88<br/>
00:00:00.998752 IP 94.100.186.16.16075 &gt; Я.40477: UDP, length 52<br/>
00:00:00.001942 IP Я &gt; 94.100.186.16: ICMP Я udp port 40477 unreachable, length 88<br/>
00:00:00.997317 IP 94.100.186.16.16075 &gt; Я.40477: UDP, length 52<br/>
<br/>

Или, в более подробном виде

# tcpdump -Attti em0 host 94.100.186.16<br/>
<br/>
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br/>
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes<br/>
00:00:00.000000 IP mriv4-2.mail.ru.16075 &gt; Я.40477: UDP, length 52<br/>
E..P..@.9..a^d..]\.k&gt;....&lt;g0........PING.+...1.p....0OG<br/>
.....1.................p<br/>
00:00:00.001629 IP Я &gt; mriv4-2.mail.ru: ICMP Я udp port 40477 unreachable, length 88<br/>
E..l.V..&gt;.p&gt;]\.k^d....A.....E..P..@.7..a^d..]\.k&gt;....&lt;_.........PING.+...1.p....0O<br/>
00:00:00.999822 IP mriv4-2.mail.ru.16075 &gt; Я.40477: UDP, length 52<br/>
E..P..@.9..a^d..]\.k&gt;....&lt;..........PING.+...1.p......L<br/>
.......p.....?.<br/>
00:00:00.001501 IP Я &gt; mriv4-2.mail.ru: ICMP Я udp port 40477 unreachable, length 88<br/>
E..l.W..&gt;.p=]\.k^d....A.....E..P..@.7..a^d..]\.k&gt;....&lt;.w........PING.+...1.p......<br/>
00:00:00.997358 IP mriv4-2.mail.ru.16075 &gt; Я.40477: UDP, length 52<br/>
E..P..@.9..a^d..]\.k&gt;....&lt;.%........PING.+...1.p......K<br/>
.......p....0..<br/>
00:00:00.001634 IP Я &gt; mriv4-2.mail.ru: ICMP Я udp port 40477 unreachable, length 88<br/>
E..l.X..&gt;.p&lt;]\.k^d....A.....E..P..@.7..a^d..]\.k&gt;....&lt;..........PING.+...1.p......<br/>
00:00:00.998253 IP mriv4-2.mail.ru.16075 &gt; Я.40477: UDP, length 52<br/>
E..P..@.9..a^d..]\.k&gt;....&lt;.%........PING.+...1.p......F<br/>
............0.z<br/>
00:00:00.001752 IP Я &gt; mriv4-2.mail.ru: ICMP Я udp port 40477 unreachable, length 88<br/>
E..l.Y..&gt;.p;]\.k^d....A.....E..P..@.7..a^d..]\.k&gt;....&lt;y.........PING.+...1.p......<br/>
00:00:00.997775 IP mriv4-2.mail.ru.16075 &gt; Я.40477: UDP, length 52<br/>
E..P..@.9..a^d..]\.k&gt;....&lt;.J........PING.+...1.p......L<br/>
.....1......@-J.........<br/>
<br/>

Answer 1

[Ilya_Drey]

Возможно это обычный спуфинг и mail.ru Вам на самом деле ничего не шлет, к вам пришел пакет со спуфингового адреса, вы на него отправили ответ и все :)

Comments

[Dyr]

Ну так и какой смысл даже для спуфингового адреса продолжать так пинговать, а главное, только эту машину? Ладно бы ещё по всем адресам или по виндовым портам…

[Ilya_Drey]

В чем смысл можно только гадать. Вы свой IP можете заказать?

Answer 2

[afiskon]

+ 1 за спуфинг. Возможно также, что это попытка сделать DDoS на mail.ru — ответ на пинг ваша машина должна же послать на его сервер.

Answer 3

[zizop]

Рискну предположить, что посредством этого пинга mail.ru как раз и проверяет наличие запущенного агента, или какого-либо другого десктопного ПО.

Comments

[Влад Фролов]

Хотите сказать, что mail.ru пингует весь интернет?

[ComodoHacker]

Может тех, кто недавно пользовался их сервисами?

[Антон Пронин]

В этот момент случайно не запущен «Мой мир», очень похоже на чат

[zizop]

Не весь, а только своих залогиненных юзеров. У вас была открыта сессия mail.ru в этот момент?

[Dyr]

mail.ru вообще не открывал и не логинился никуда. Если только какой-нибудь баннер? Но и тогда, собственно, непонятно, почему он пытается таким странным образом убедится в невесть чём и почему это продолжается столько времени.

Answer 4

[ComodoHacker]

А у вас IP динамический?

Comments

[Dyr]

Статический BiNAT.

P.S. Отключил машину от сети, пинг с mail.ru продолжается.

Ни на кого другого в сети (смотрю на провайдерском шлюзе) такого нет. :\