Архив форумов ЦИТФорума

[severr]

Ситуция такая. Сеть + инет (xDSL 128Mb) что то забивает трафик...
Как выяснит что и откуда?
Стоит Винроут, показывает что с в инет летят пакеты по 80 порту с офигительной скоростью. Но не показывает с какого внутреннего АйПи. Только с моего внешнего на какой то внешний по 80 порту. Затыкаю конкретный адрес, начинает слать на другой. Если 80 совсем закрываю - все остальное просто летает, но это же не выход.
Че делать???

[crash]

может вирус у тебя? а может кто твоим винроутом из вне пользуется?

[severr]

Может, но... Как это выянсить?
Вопросто то в том как это устранить, ну а для начала выяснить что это и откуда

[crash]

вести логи, смотреть их и анализировать, поставить фаервол, пройтись антивирусной программой

[severr]

[ALEX_SE]

А может просто запретить прокси обработку запросов от внешнего интерфейса?..

[and3008]

Неужели Винроут не показывает адрес источника?

[Гость]

Поставил firewall - он показывает что активные соединения - которые меня и беспокоят (забивают трафик) исходят от винроута, что само по себе непонятно.
Что делать?

[Pahan!]

[Гость]

Настройки, дополнительно, фильтр пакетов
типа... файрвол, конечно все ущербно, но работает

[Pahan!]

[MiK]

Увидеть, что в инет уходят левые пакеты можно, а остановить эту байду нельзя. Как-то слабо вериться, но я не о том. Попробуй проксик от Kerio, (если решил строить шлюзовую машину на Win, что имхо пустая трата времени, всё равно придёшь к nix'ам. Почитай, кстати, что в мире про тот же OpenBSD говорят, да и ставиться он быстрее и проще чем старенькие окошки). Так вот, отвлёкся немного, Kerio WinRoute Firewal плюс сетевой монитор от них же или тот же TMeter, и будешь контролировать каждый бит пытающийся пройти через внешний интерфейс. Если конечно не установишь себе свежий сетевой драйвер с трояном

[cs_voodoo]

Так может, попробовать сниффер?
OBSERVER например- наикрутейшая штука!
можно и ZX sniffer
Они тебе расскажут про траффик: какие пакеты ходют, куда и т.п.

[Pahan!]

[Алекс]

Судя по всему написанному можно предположить, что либо к тебе ломится кто-то из-вне (реально может быть, правильные настройки прокси или файервол помогают на 100% - если тебе машину не поломают), либо вирус "шалит" (тоже можно файерволом отследить). Третье, может быть, и дано, но на ум прямо сейчас не приходит (апдейт какой-нибудь ).
Вот и борись с этим всем!
Удачи!

[Dmitry.Karpov]

[Pahan!]

[Dmitry.Karpov]

[cs_voodoo]

Короче говоря, ставишь Сниффер- он собирает , анализирует траффик на твоей машине - там увидишь какие адреса куда ходят и протоколы, а из всего этого видишь кто ломится.
А дальше используй Файрволл и перекрывай все ненужное

[Алекс]

Никакой сниффер не нужно ставить. Посмотреть соединения с кривым, либо вообще без файервола можно простой командой "netstat -an" (без кавычек, естесссс).
Была такая байда. Сидели люди, смотрели прямо в интернет - напрямую. У них стоял прокси для пропуска локальных юзеров в инет. В один месяц они "перебрали" - забрали гигабайта 2-2,5. Это на них было не похоже - такого трафика никогда не было. Попросили разобраться. Разобрался - поставил им ZoneAlarm Pro, закрыл доступ снаружи к проксе - как бабка отшептала. Просто, кто-то воспользовался их открытой всем ветрам проксей в своих "грязных целях".
Посему, закрой доступ снаружи (в самой твоей проксе, на НТТР-проксе должны быть вкладки Bindings (должен стоять адрес внутренней сетки) и Interfaces (адрес внешней сетки). Не поможет - файервол.
Не поможет - пиши сюда.
Удачи!

[Гость]

[Алекс]

[Sever111]

Разобрался - поставил им ZoneAlarm Pro, закрыл доступ снаружи к проксе - как бабка отшептала. Просто, кто-то воспользовался их открытой всем ветрам проксей в своих "грязных целях".
Посему, закрой доступ снаружи (в самой твоей проксе, на НТТР-проксе должны быть вкладки Bindings (должен стоять адрес внутренней сетки) и Interfaces (адрес внешней сетки). Не поможет - файервол.

Прокся встроеная в винроут 4.2.5. вкладок в ней с такими параметрами нет. Может поставить отдельную, не встроеную? Какую? Вин роут при этом, как я понимаю остается и выполняет свои задачи.

[Dmitry.Karpov]

Все Proxy под Windows - исключительно кривые. Лично я советую поставить Linux или FreeBSD (смотря какой гуру есть под рукой; нет - заведи, в качестве приманки используй ящик пива); поверх ставишь Squid для HTTP, SendMail (уже встроен) для SMTP-пересылки, а для прямого доступа (POP3, IMAP4, SMTP на mail.ru) продукты у них разные (для FreeBSD - ipfw+natd).
_________________
Благословен Бог, сотворивший меня сисадмином!

[Алекс]

[Nicola]

Не разу не боролся с такого типа проблемой, но могу посоветовать более топорный способ, может и сработает: Берем топорно (если конечно это вообще реализуемо) приходим в выходные и включаем все компы. Никого нет, а трафик тащится? Вирус. Все спокойно: значит гад какой-то таскает. Ловить его надо и ставить в позу, ну сам решишь какую. Я бы в такой ситуации административно пытался проблему решить. Если трафик ежедневный значит можно сеть отключать локациями на "профилактику" снял хаб и ушел, я думаю начальство поймет, им же платить. Конечно можно программно все вычислять, но если уж совсем беда, попробуй отследить человека. Или хоть сузить круг подозреваемых. Конечно я не знаю топологию сети, но если возможно рулить, чела можно вычилить. По крайней мере если бы я не смог перекрыть это на своем уровне я бы начал искать таким образом. Тяжело наверно, но я искренне желаю удачи. А если найдешь чела расколи как делал, и нам расскажи.