майнеры современные общаются с пулом по протоколу staratum обмен данными идет в формате json

вот пример такого пакета - 0000: 70 4d 7b b3 3c 43 e4 8d 8c b2 05 f1 08 00 45 70 pM{.<C.. ......Ep 0010: 01 26 d6 e3 40 00 31 06 a3 15 d5 20 1d 96 c0 a8 .&..@.1. ... .... 0020: 1b 0a 38 6c 90 e2 af 6a 21 6a b6 1f 11 93 80 18 ..8l...j !j...... 0030: 00 eb 81 9f 00 00 01 01 08 0a 3d ef df 45 00 75 ........ ..=..E.u 0040: 1b a5 7b 22 6a 73 6f 6e 72 70 63 22 3a 22 32 2e ..{"json rpc":"2. 0050: 30 22 2c 22 6d 65 74 68 6f 64 22 3a 22 6a 6f 62 0","meth od":"job 0060: 22 2c 22 70 61 72 61 6d 73 22 3a 7b 22 62 6c 6f ","param s":{"blo 0070: 62 22 3a 22 30 36 30 36 66 64 62 35 38 65 64 32 b":"0606 fdb58ed2 0080: 30 35 35 63 64 32 65 34 63 39 66 38 62 39 37 30 055cd2e4 c9f8b970 0090: 32 32 39 66 37 63 36 64 65 35 34 32 66 61 61 35 229f7c6d e542faa5 00a0: 39 37 36 31 62 38 66 62 64 61 38 61 61 37 61 36 9761b8fb da8aa7a6 00b0: 63 38 30 31 31 30 39 37 36 65 33 35 32 38 30 63 c8011097 6e35280c 00c0: 61 31 30 30 30 30 30 30 30 30 32 33 65 64 64 30 a1000000 0023edd0 00d0: 65 31 66 62 35 30 61 38 35 30 31 34 34 37 35 64 e1fb50a8 5014475d 00e0: 34 37 66 64 61 38 34 65 38 37 31 30 37 32 36 32 47fda84e 87107262 00f0: 31 66 30 61 65 39 63 34 63 39 63 63 36 34 65 37 1f0ae9c4 c9cc64e7 0100: 64 36 32 30 31 33 37 61 34 33 30 61 22 2c 22 6a d620137a 430a","j 0110: 6f 62 5f 69 64 22 3a 22 38 37 36 31 22 2c 22 74 ob_id":" 8761","t 0120: 61 72 67 65 74 22 3a 22 63 66 38 62 30 30 30 30 arget":" cf8b0000 0130: 22 7d 7d 0a "}}.

можно ли как то идентифицировать его в мангле или в фильтре и писать в лог?

я так понимаю надол писать правило Layer7 ?

этот конкретный пакет - передача пулом задания майнеру

Всем привет! вчера спрашивал про вычисление майнеров. можно ли идентифицировать пакеты от майнера на микротике. вот что выяснил

че не так с майнерами то?

че не так с майнерами то?

так руководство хочет определить малой кровью, майнят или нет используя халявное электричество.

так руководство хочет определить малой кровью, майнят или нет используя халявное электричество.

на рабочих машинках?

на рабочих машинках?

нет ) боятся что свои фермы ставят

Так если электричество реально халявное — срочно майните сами.

нет ) боятся что свои фермы ставят

епт...там завод чтоли?

Так если электричество реально халявное — срочно майните сами.

один во внуково уже домайнился

один во внуково уже домайнился

Потому что без ведома руководства, имхо.

вот пример такого пакета - 0000: 70 4d 7b b3 3c 43 e4 8d 8c b2 05 f1 08 00 45 70 pM{.<C.. ......Ep 0010: 01 26 d6 e3 40 00 31 06 a3 15 d5 20 1d 96 c0 a8 .&..@.1. ... .... 0020: 1b 0a 38 6c 90 e2 af 6a 21 6a b6 1f 11 93 80 18 ..8l...j !j...... 0030: 00 eb 81 9f 00 00 01 01 08 0a 3d ef df 45 00 75 ........ ..=..E.u 0040: 1b a5 7b 22 6a 73 6f 6e 72 70 63 22 3a 22 32 2e ..{"json rpc":"2. 0050: 30 22 2c 22 6d 65 74 68 6f 64 22 3a 22 6a 6f 62 0","meth od":"job 0060: 22 2c 22 70 61 72 61 6d 73 22 3a 7b 22 62 6c 6f ","param s":{"blo 0070: 62 22 3a 22 30 36 30 36 66 64 62 35 38 65 64 32 b":"0606 fdb58ed2 0080: 30 35 35 63 64 32 65 34 63 39 66 38 62 39 37 30 055cd2e4 c9f8b970 0090: 32 32 39 66 37 63 36 64 65 35 34 32 66 61 61 35 229f7c6d e542faa5 00a0: 39 37 36 31 62 38 66 62 64 61 38 61 61 37 61 36 9761b8fb da8aa7a6 00b0: 63 38 30 31 31 30 39 37 36 65 33 35 32 38 30 63 c8011097 6e35280c 00c0: 61 31 30 30 30 30 30 30 30 30 32 33 65 64 64 30 a1000000 0023edd0 00d0: 65 31 66 62 35 30 61 38 35 30 31 34 34 37 35 64 e1fb50a8 5014475d 00e0: 34 37 66 64 61 38 34 65 38 37 31 30 37 32 36 32 47fda84e 87107262 00f0: 31 66 30 61 65 39 63 34 63 39 63 63 36 34 65 37 1f0ae9c4 c9cc64e7 0100: 64 36 32 30 31 33 37 61 34 33 30 61 22 2c 22 6a d620137a 430a","j 0110: 6f 62 5f 69 64 22 3a 22 38 37 36 31 22 2c 22 74 ob_id":" 8761","t 0120: 61 72 67 65 74 22 3a 22 63 66 38 62 30 30 30 30 arget":" cf8b0000 0130: 22 7d 7d 0a "}}.

а по портам там ниче такоо не пролетает?

ребят ну я серьезно, прошу помочь. правильно понимаю что написав регэксп в лайер7 отлавливающий словосочетания например "method" : "job" + еще несколько подобных в одном пакете, я смогу такие пакеты логить?

по портам бессмысленно ловить

каждый пул свой набор портов использует

ребят ну я серьезно, прошу помочь. правильно понимаю что написав регэксп в лайер7 отлавливающий словосочетания например "method" : "job" + еще несколько подобных в одном пакете, я смогу такие пакеты логить?

не факт вот это читали? https://habrahabr.ru/company/cisco/blog/345200/

а протокол вроде как все одинаковый юзают

каждый пул свой набор портов использует

так ониж не стандартные, на этом попалисть можно

ну а торренты как (

там же тоже куча нестандартных портов

там же тоже куча нестандартных портов

херачить все нестандартное

торенты не надо рубить

и вообще ничего рубить не надо

просто логировать пакеты

хорошоб идентифицировать их однозначно как майнерские

пулов же так много...

весь интернет в пулах прям

вместо конкретных ip/dns, давайте логировать json...

и кстати, а что мешает майнерам запихнуть трафик в туннель?

да ничто не мешает. как и не мешает усб свисток в ферму воткнуть ) мне надо отчитаться. типа провел мониторинг с помощью имеющихся средств, выявил не выявил

пулов же так много...

я вот удивился, их реально много.

мне проще одно правило написать если оно реально будет работать

Их дохера)

мне проще одно правило написать если оно реально будет работать

мочи. потом заббиксы всякие будут логироваться как майнеры

че не так с майнерами то?

отжать битки.

да нет там никаких заббиксов ) на магазинах этих

да и это ненадолго

повисит пару дней и уберу

повисит пару дней и уберу

сорм локального маштаба

да ничто не мешает. как и не мешает усб свисток в ферму воткнуть ) мне надо отчитаться. типа провел мониторинг с помощью имеющихся средств, выявил не выявил

яб написал, что вверенным мне набором сил и средств. достоверно выяснить это нет технической возможности

а то напишешь что нет, а потом выяснится что есть... ну его нахер, вон пущай сиску покупают, пишут она умеет

напиши что провёл разьяснительные беседы

а всё остальное столь же эффективное как беседы - стоит денег

вот можно с езернет портами купить устройства которые будут аномалии потребления показывать

и в заббикс его и в заббикс

какие еще бля пакеты, пхукеты

вот можно с езернет портами купить устройства которые будут аномалии потребления показывать

там как я понимаю группа удаленных магазинов, хрен че сделаешь просто так, вот и хотят без палева все прозондировать, а то после рекламы по тв мысли дурные появляются

там как я понимаю группа удаленных магазинов, хрен че сделаешь просто так, вот и хотят без палева все прозондировать, а то после рекламы по тв мысли дурные появляются

передатчики работают, всё норм

приходит потом на работу дирехтур и ебет мозг всем подчиненным

кароч это ваще блять задача энергетика - пусть он и думает

приходит потом на работу дирехтур и ебет мозг всем подчиненным

а если это директор вражина7

сегодня вроде среда...

просто если на это посмотреть с той стороны, что: 1. по трафику есть аномалии или то что нас расстраивает? (там чо много по майнингу трафика?) - наверное нет 2. По электричеству - это к энергетику 3. Остальное тебе жалко чтоль если это не противозаконно?

сегодня вроде среда...

седня третья пятница

седня третья пятница

не не, третья пред-пятница

или пятая после-пятница

ERROR: S client not available

и ваще раз такое дело - то делай белый список

и точно дирехтур будет спать спокойно

заодно и с торрентами решишь вопросы и с вконтактиками там

и ваще раз такое дело - то делай белый список

добрый ты ?

добрый ты ?

ну а чо, ну а как

зато это мероприятие можно сделать без бюджета

ну пострадает персонал месяцок пока вайтлист не утрясецца рабочий - и норм будет

зато сесурити!

вот верно говорит то

зачет

во нафлудили

ребят, мне бы туннель рвать по смс или звонку с группы номеров, проверка приближается

микрот в ЦОДе, ГСМ-розетку низя, модем низя ?

хотя модем можно в свой поставить, инет вроде не падает, связь будет

или как-то по другому можно организовать?

или как-то по другому можно организовать?

позвонить в цод и поросить питалово вырубить

например

10-15 минут запрос обрабатывают, критично долго

ipsec тогда и мочить пира

на дроидах есть софт для управления тиком еси чо

звонок это более палевно кмк

можно приложеньку с большой красной кнопокй, а там хоть по ссш заходи и оргарничивай отовсюду доступ

нет, тут ТЗ звонок или смс

звонить то куда будут?

по камерам увидели - сразу звонок и нет туннеля