Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
severr
Зарегистрирован: 12.12.2003 Сообщения: 5
|
Добавлено: Пт Дек 12 2003 13:28 Заголовок сообщения: Просто завал |
|
|
Ситуция такая. Сеть + инет (xDSL 128Mb) что то забивает трафик...
Как выяснит что и откуда?
Стоит Винроут, показывает что с в инет летят пакеты по 80 порту с офигительной скоростью. Но не показывает с какого внутреннего АйПи. Только с моего внешнего на какой то внешний по 80 порту. Затыкаю конкретный адрес, начинает слать на другой. Если 80 совсем закрываю - все остальное просто летает, но это же не выход.
Че делать??? |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Дек 12 2003 14:37 Заголовок сообщения: |
|
|
может вирус у тебя? а может кто твоим винроутом из вне пользуется? |
|
Вернуться к началу |
|
|
severr
Зарегистрирован: 12.12.2003 Сообщения: 5
|
Добавлено: Пт Дек 12 2003 14:41 Заголовок сообщения: |
|
|
Может, но... Как это выянсить?
Вопросто то в том как это устранить, ну а для начала выяснить что это и откуда |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Дек 12 2003 14:48 Заголовок сообщения: |
|
|
вести логи, смотреть их и анализировать, поставить фаервол, пройтись антивирусной программой |
|
Вернуться к началу |
|
|
severr
Зарегистрирован: 12.12.2003 Сообщения: 5
|
Добавлено: Пт Дек 12 2003 15:12 Заголовок сообщения: |
|
|
crash писал(а): | вести логи, смотреть их и анализировать, поставить фаервол, пройтись антивирусной программой |
Вести логи чего? Если про Винроут - то я их постоянно перед собой вижу, кто то щемится в инет причем с разной активностью, скорость работы всего остального зависит от этого. Адреса приемник все время меняются порт 80, источник - мой внешний айпи порт меняется.
Кстати я его наблюдаю на интерфейсе сетевухи кот смотрит в инет, мож я не там смотрю?
Фаер ставить вечером буду. Попробовал КонСил, он мне почту рубанул (хотя я вроде порты для почты оставил открытыми), Доктор вэб ничего не нашел, да я и переставлял систему несколько дней назад |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пт Дек 12 2003 16:48 Заголовок сообщения: |
|
|
А может просто запретить прокси обработку запросов от внешнего интерфейса?.. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Дек 13 2003 13:20 Заголовок сообщения: |
|
|
Неужели Винроут не показывает адрес источника? |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Сб Дек 13 2003 20:42 Заголовок сообщения: |
|
|
Поставил firewall - он показывает что активные соединения - которые меня и беспокоят (забивают трафик) исходят от винроута, что само по себе непонятно.
Что делать? |
|
Вернуться к началу |
|
|
Pahan!
Зарегистрирован: 14.12.2003 Сообщения: 14 Откуда: Moscow
|
Добавлено: Вс Дек 14 2003 23:55 Заголовок сообщения: |
|
|
crash писал(а): | вести логи, смотреть их и анализировать, поставить фаервол, пройтись антивирусной программой |
Народ, скажите мне все-таки определенно, есть в ВинРуте фаер или нет??? |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Пн Дек 15 2003 10:55 Заголовок сообщения: |
|
|
Настройки, дополнительно, фильтр пакетов
типа... файрвол, конечно все ущербно, но работает |
|
Вернуться к началу |
|
|
Pahan!
Зарегистрирован: 14.12.2003 Сообщения: 14 Откуда: Moscow
|
Добавлено: Пн Дек 15 2003 11:29 Заголовок сообщения: |
|
|
Anonymous писал(а): | Настройки, дополнительно, фильтр пакетов
типа... файрвол, конечно все ущербно, но работает |
Ну так вот и про тоже, про этот Фильтр пакетов! А то смотрю чета все про фаер да про фаер... А что собственно говоря даст установка "настоящего" фаера??? |
|
Вернуться к началу |
|
|
MiK
Зарегистрирован: 03.04.2002 Сообщения: 333 Откуда: пос. Ново-%буново
|
Добавлено: Пн Дек 15 2003 11:34 Заголовок сообщения: Странно работает Винроут.. |
|
|
Увидеть, что в инет уходят левые пакеты можно, а остановить эту байду нельзя. Как-то слабо вериться, но я не о том. Попробуй проксик от Kerio, (если решил строить шлюзовую машину на Win, что имхо пустая трата времени, всё равно придёшь к nix'ам. Почитай, кстати, что в мире про тот же OpenBSD говорят, да и ставиться он быстрее и проще чем старенькие окошки). Так вот, отвлёкся немного, Kerio WinRoute Firewal плюс сетевой монитор от них же или тот же TMeter, и будешь контролировать каждый бит пытающийся пройти через внешний интерфейс. Если конечно не установишь себе свежий сетевой драйвер с трояном |
|
Вернуться к началу |
|
|
cs_voodoo
Зарегистрирован: 08.12.2003 Сообщения: 6
|
Добавлено: Пн Дек 15 2003 12:22 Заголовок сообщения: |
|
|
Так может, попробовать сниффер?
OBSERVER например- наикрутейшая штука!
можно и ZX sniffer
Они тебе расскажут про траффик: какие пакеты ходют, куда и т.п. |
|
Вернуться к началу |
|
|
Pahan!
Зарегистрирован: 14.12.2003 Сообщения: 14 Откуда: Moscow
|
Добавлено: Пн Дек 15 2003 12:51 Заголовок сообщения: |
|
|
cs_voodoo писал(а): | Так может, попробовать сниффер?
OBSERVER например- наикрутейшая штука!
можно и ZX sniffer
Они тебе расскажут про траффик: какие пакеты ходют, куда и т.п. |
А чем отличается снифер от файервола???
P.S.: прошу прощения за глупый вопрос... Мне стыдно, но я этова до сих пор не знаю. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пн Дек 15 2003 14:20 Заголовок сообщения: |
|
|
Судя по всему написанному можно предположить, что либо к тебе ломится кто-то из-вне (реально может быть, правильные настройки прокси или файервол помогают на 100% - если тебе машину не поломают), либо вирус "шалит" (тоже можно файерволом отследить). Третье, может быть, и дано, но на ум прямо сейчас не приходит (апдейт какой-нибудь ).
Вот и борись с этим всем!
Удачи! |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Пн Дек 15 2003 20:55 Заголовок сообщения: |
|
|
Pahan! писал(а): | чем отличается снифер от файервола??? | Снифер слушает, запоминает и анализирует, но ни на что не влияет. Файервол запрещает некоторые пакеты, мешая доступу тому и туда, кому и куда неположено. _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
Pahan!
Зарегистрирован: 14.12.2003 Сообщения: 14 Откуда: Moscow
|
Добавлено: Пн Дек 15 2003 21:52 Заголовок сообщения: |
|
|
Dmitry.Karpov писал(а): | Pahan! писал(а): | чем отличается снифер от файервола??? | Снифер слушает, запоминает и анализирует, но ни на что не влияет. Файервол запрещает некоторые пакеты, мешая доступу тому и туда, кому и куда неположено. |
Т.е. он ведет логи типа кто и когда ломился через такой-то порт туда-то... Так? |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Пн Дек 15 2003 22:02 Заголовок сообщения: |
|
|
Pahan! писал(а): | Т.е. он ведет логи типа кто и когда ломился через такой-то порт туда-то... Так? | Кто "он"?
Вообще-то зависит от того, что за продукт и как его настроишь. Мжет вести логи, может сразу считать статистику (суммировать)... _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
cs_voodoo
Зарегистрирован: 08.12.2003 Сообщения: 6
|
Добавлено: Вт Дек 16 2003 09:28 Заголовок сообщения: |
|
|
Короче говоря, ставишь Сниффер- он собирает , анализирует траффик на твоей машине - там увидишь какие адреса куда ходят и протоколы, а из всего этого видишь кто ломится.
А дальше используй Файрволл и перекрывай все ненужное |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Дек 16 2003 10:44 Заголовок сообщения: Вопрошавшему |
|
|
Никакой сниффер не нужно ставить. Посмотреть соединения с кривым, либо вообще без файервола можно простой командой "netstat -an" (без кавычек, естесссс).
Была такая байда. Сидели люди, смотрели прямо в интернет - напрямую. У них стоял прокси для пропуска локальных юзеров в инет. В один месяц они "перебрали" - забрали гигабайта 2-2,5. Это на них было не похоже - такого трафика никогда не было. Попросили разобраться. Разобрался - поставил им ZoneAlarm Pro, закрыл доступ снаружи к проксе - как бабка отшептала. Просто, кто-то воспользовался их открытой всем ветрам проксей в своих "грязных целях".
Посему, закрой доступ снаружи (в самой твоей проксе, на НТТР-проксе должны быть вкладки Bindings (должен стоять адрес внутренней сетки) и Interfaces (адрес внешней сетки). Не поможет - файервол.
Не поможет - пиши сюда.
Удачи! |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Вт Дек 16 2003 13:58 Заголовок сообщения: Re: Странно работает Винроут.. |
|
|
MiK писал(а): | Увидеть, что в инет уходят левые пакеты можно, а остановить эту байду нельзя. Как-то слабо вериться, но я не о том. Попробуй проксик от Kerio, (если решил строить шлюзовую машину на Win, что имхо пустая трата времени, всё равно придёшь к nix'ам. Почитай, кстати, что в мире про тот же OpenBSD говорят, да и ставиться он быстрее и проще чем старенькие окошки). Так вот, отвлёкся немного, Kerio WinRoute Firewal плюс сетевой монитор от них же или тот же TMeter, и будешь контролировать каждый бит пытающийся пройти через внешний интерфейс. Если конечно не установишь себе свежий сетевой драйвер с трояном |
Проксик от Керио, что то на официальной странице нет тагого продукта, или ты имеешь ввиду втроеный в винроут. Фаер от керио не понравился - непонятно нифига. TMeter - показыват что со шлюза на выходе обалденный трафик, к тому же всего 3 фильтра, а сериала нет даже на асталависте... Так что я в полной ж. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Дек 16 2003 15:31 Заголовок сообщения: Re: Странно работает Винроут.. |
|
|
MiK писал(а): | Увидеть, что в инет уходят левые пакеты можно, а остановить эту байду нельзя. Как-то слабо вериться, .. |
Ну да, ну да! Вот так вот все у всех трафик и тырят!
Anonymous писал(а): |
Проксик от Керио, что то на официальной странице нет тагого продукта, или ты имеешь ввиду втроеный в винроут. Фаер от керио не понравился - непонятно нифига. TMeter - показыват что со шлюза на выходе обалденный трафик, к тому же всего 3 фильтра, а сериала нет даже на асталависте... Так что я в полной ж. |
"Проксик от Керио" - это, должно быть, файервол, а не прокси. Где взять не знаю. У меня на одной машине (я за ней не сижу, вернее сижу, когда возникают проблемы) появился как-то вдруг. Никто его, конечно, не устанавливал. Хотя, это первый раз, когда "случайно" установлен файервол, а не вирус. Я даже рад, отчасти.
И что тебе дал ТМетр? Не нужен он тебе!
Читай мое предыдущее послание и делай, как написано. Советую!
Удачи! |
|
Вернуться к началу |
|
|
Sever111 Гость
|
Добавлено: Вт Дек 16 2003 16:02 Заголовок сообщения: Re: Вопрошавшему |
|
|
Разобрался - поставил им ZoneAlarm Pro, закрыл доступ снаружи к проксе - как бабка отшептала. Просто, кто-то воспользовался их открытой всем ветрам проксей в своих "грязных целях".
Посему, закрой доступ снаружи (в самой твоей проксе, на НТТР-проксе должны быть вкладки Bindings (должен стоять адрес внутренней сетки) и Interfaces (адрес внешней сетки). Не поможет - файервол.
Прокся встроеная в винроут 4.2.5. вкладок в ней с такими параметрами нет. Может поставить отдельную, не встроеную? Какую? Вин роут при этом, как я понимаю остается и выполняет свои задачи. |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Вт Дек 16 2003 16:32 Заголовок сообщения: Используй Unix |
|
|
Все Proxy под Windows - исключительно кривые. Лично я советую поставить Linux или FreeBSD (смотря какой гуру есть под рукой; нет - заведи, в качестве приманки используй ящик пива); поверх ставишь Squid для HTTP, SendMail (уже встроен) для SMTP-пересылки, а для прямого доступа (POP3, IMAP4, SMTP на mail.ru) продукты у них разные (для FreeBSD - ipfw+natd). _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Дек 16 2003 16:51 Заголовок сообщения: Re: Вопрошавшему |
|
|
Sever111 писал(а): | Прокся встроеная в винроут 4.2.5. вкладок в ней с такими параметрами нет. Может поставить отдельную, не встроеную? Какую? Вин роут при этом, как я понимаю остается и выполняет свои задачи. |
Ну... не могу я упомнить все прокси всех версий. Может и нет, но какой-нибудь аналог возможен. Посмотреть сейчас негде. Мне ВинПрокси, на сколько я помню, не очень понравился. Там даже мап не пошел, как надо. Поэтому советую поставить ВинГейт.
Но если и так все работает, то чтоб не париться поставь ZoneAlarm (хотя бы простой, хотя лучше более профессиональный, платный ). Брать тут: www.zonelabs.com Или любой другой. Можно Аутпост - лучшее решение! Есть бесплатный.
Удачи! |
|
Вернуться к началу |
|
|
Nicola Гость
|
Добавлено: Сб Дек 20 2003 15:05 Заголовок сообщения: Попробуй другой подход. |
|
|
Не разу не боролся с такого типа проблемой, но могу посоветовать более топорный способ, может и сработает: Берем топорно (если конечно это вообще реализуемо) приходим в выходные и включаем все компы. Никого нет, а трафик тащится? Вирус. Все спокойно: значит гад какой-то таскает. Ловить его надо и ставить в позу, ну сам решишь какую. Я бы в такой ситуации административно пытался проблему решить. Если трафик ежедневный значит можно сеть отключать локациями на "профилактику" снял хаб и ушел, я думаю начальство поймет, им же платить. Конечно можно программно все вычислять, но если уж совсем беда, попробуй отследить человека. Или хоть сузить круг подозреваемых. Конечно я не знаю топологию сети, но если возможно рулить, чела можно вычилить. По крайней мере если бы я не смог перекрыть это на своем уровне я бы начал искать таким образом. Тяжело наверно, но я искренне желаю удачи. А если найдешь чела расколи как делал, и нам расскажи. |
|
Вернуться к началу |
|
|
|