Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
darkstorm_ Гость
|
Добавлено: Пт Апр 30 2004 16:21 Заголовок сообщения: Траффик |
|
|
Уважаемые господа!
Я столкнулся с проблемой исходящего трафика в сети, вернее с компами, которые этот трафик непонятным образом "создают".
Сеть, которую мне поручили администрировать, управляется MS ISA Сервером, в котором я если честно не очень разбираюсь. Проблема такая :
- при снятии логов (в MS ISA Manager`е) в отчете помимо пользователей имеются ай-пи адреса. За этими адресами наблюдается интересная вещь, они имеют только исходящий траффик. Машины, соответствующие этим адресам я нашел. Пользователей опросил (уровень грамотности у них очень низкий, так что я пока исключил какие то попытки обхода настроек). Результата нет. Что это может быть?
- компания, которая предоставляет нам услуги доступа заявила, что наш траффик составил 2,3 гектара, в то время как Манагер показывает мне общй траффик только 1,5 гига. Ай-пи адрес, с которого снимался лог у провайдера соответствует нашему серваку! Как это объяснить?
- и ещё вопрос: какую программу по подсчету и блокировке траффика вы можете посоветовать использовать. Я пробовал Traffic Inspector, но он слишком навороченый и работать не захотел (в смысле ограничения я поставил а качать он дает по старому, сколько хочешь), а Traffic Filter слишком прост и я так и не нашел у него функцию отчетов ( может просто её нет?), хотя с "обрубкой" траффика у него порядок.
Заранее спасибо! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пт Апр 30 2004 16:41 Заголовок сообщения: |
|
|
Читал "Как правильно задавать вопросы"? Нет? Я тоже ) - длинная статейка - лень, но можно всю ее выразить одной фразой: "Описывай все подробно, со всеми мелочами, выполненными действиями и как можно понятнее!" Понятно изложил?
Какие программы, чего, куда, как?....
Насчет замеров. У меня лежит программка на сайте (в профиле глянь), там есть счетчик трафика и для ИСЫ. Попробуй сравнить показания. Насчет блокировки - ставь файервол дополнительный или смотри настройки ИСЫ.
Ждем вопросов... _________________ Удачи! |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Пт Апр 30 2004 16:50 Заголовок сообщения: |
|
|
ISA Server вещь очень хорошая если знаешь как с ней управляться....
Для него придумано несколько прог которые умеют анализировать его логи и выдавать отчёты в читабельном виде, да и у самого ИСА Сервера есть замечательный анализатор логов.
Если знаешь с каких компов идёт траффик и юзеры утверждают что нифига не делают - проверь на вирусы первым делом.....
Сейчас трудно тебе что либо посоветовать.....
Узнай по каким протоколам траффик от юзеров....
Просмотри ручками логи - нет ли там левых адресов.... |
|
Вернуться к началу |
|
|
darkstorm_ Гость
|
Добавлено: Пт Апр 30 2004 16:56 Заголовок сообщения: |
|
|
Кстати ИСА пишет в графе протоколов
- HTTP
- FTP
- UNKNOWN
этот неизвестный это какой?
Причем в графе системы присутствует такая же ОС? |
|
Вернуться к началу |
|
|
darkstorm_ Гость
|
Добавлено: Пт Апр 30 2004 16:58 Заголовок сообщения: |
|
|
Как запретить скачку с помошью ИСА ? |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пт Апр 30 2004 17:03 Заголовок сообщения: |
|
|
Что тут непонятного? Смотри логи ИСЫ, она же их ведет... Отфильтруй по клиентам, по портам... И глянь. Хотя что тут домать - трояна кто-нибудь из них подцепил, вот теперь спам и рассылает... |
|
Вернуться к началу |
|
|
darkstorm_ Гость
|
Добавлено: Пт Апр 30 2004 17:22 Заголовок сообщения: |
|
|
Обнаружил ай пи незарегистрированные в сети, это как понять?
Уважаемый Алекс я с ИСОЙ всего неделю работаю, что вы хотите? |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пт Апр 30 2004 17:34 Заголовок сообщения: |
|
|
Мы хотим чтобы быстренько взяли книжицу по ИСЕ, по TCP/IP, хелп открыли, и почитали бы. Если не очень знающего чела допускают до админства, это не повод говорить что мол, давайте меня всему учите, а то я ведь не знаю...
И в вопросах пишите конкретно! У меня например в отличии от Вас все работает, а разгадывать головоломки в Ваших постах я не намерен... |
|
Вернуться к началу |
|
|
darkstorm_ Гость
|
Добавлено: Пт Апр 30 2004 17:38 Заголовок сообщения: |
|
|
Тогда зачем разгадываете? Если вас это так утомляет пожалуйста не надо, я не заставляю. Я прошу совета и понимания, а не оценки моих действий. |
|
Вернуться к началу |
|
|
darkstorm_ Гость
|
Добавлено: Пт Апр 30 2004 17:45 Заголовок сообщения: |
|
|
Если бы у меня была книжеца по ИСЕ и ТCP/IP, а самое главное время, я бы вопросов не задавал ! |
|
Вернуться к началу |
|
|
darkstorm_
Зарегистрирован: 30.04.2004 Сообщения: 3
|
Добавлено: Пт Апр 30 2004 17:59 Заголовок сообщения: |
|
|
Но все равно спасибо всем ! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Май 05 2004 10:55 Заголовок сообщения: |
|
|
darkstorm_ писал(а): | Обнаружил ай пи незарегистрированные в сети, это как понять?
Уважаемый Алекс я с ИСОЙ всего неделю работаю, что вы хотите? |
Если этот вопрос ко мне, то я, как и прежде, хочу подробностей. Какие такие, например, незарегистрированные ИП? А как их регистрировали раньше? И кто? Сколько их вообще? И т.д.
И работа с ИСОЙ сроком в неделю на эти подробности никак не влияет, между прочим! _________________ Удачи! |
|
Вернуться к началу |
|
|
_ShAmAn_
Зарегистрирован: 03.01.2004 Сообщения: 94
|
Добавлено: Чт Май 06 2004 18:21 Заголовок сообщения: |
|
|
Парень, не тормози (сорри за грубость), даю 90% , что у тя в сети полно нетскаев, майдумов, сассеров и прочего зверья. Погоняй каспером или еще какой антивириной, да со свежими базами - и скорее всего это будет решением проблемы. |
|
Вернуться к началу |
|
|
Гоша Гость
|
Добавлено: Пт Май 07 2004 07:23 Заголовок сообщения: |
|
|
Я конечно немогу знать точно что и как ... Но с высоты своего операторского кресла смею предположить что кто-то хакнул вашу сеть и в наглую использует ваш траффик ...... Вот ...... (Вроде сошел за умного .....) |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Май 07 2004 07:43 Заголовок сообщения: |
|
|
Гоша писал(а): | Я конечно немогу знать точно что и как ... Но с высоты своего операторского кресла смею предположить что кто-то хакнул вашу сеть и в наглую использует ваш траффик ...... Вот ...... (Вроде сошел за умного .....) |
а может все таки вирус? или у него ИСА разрешает ходить откуда угодно и куда угодно |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пт Май 07 2004 07:51 Заголовок сообщения: |
|
|
Нет, Гоша, за умного ты опять не сошел.
Когда хакают как ты говоришь сеть (а в данном случае прокси), то никакой выгоды от наглого использования трафика ты не получишь, за исключением одного - анономного прокси. С которого очень запросто рассылать например рекламу. Но, поскольку в данном случае исходящий трафик идет с компьютеров внутренней сети, то наиболее вероятным вариантом будет скорее всего наличие на этих компах троянцев рассылающих спам по всему миру. |
|
Вернуться к началу |
|
|
_ShAmAn_
Зарегистрирован: 03.01.2004 Сообщения: 94
|
Добавлено: Пт Май 07 2004 09:13 Заголовок сообщения: |
|
|
ALEX_SE - абсолютно согласен, на фоне разгула вирей в этом году такое объяснение кажется наиболее логичным. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пт Май 07 2004 09:42 Заголовок сообщения: |
|
|
А я все равно не пойму, как можно в СВОЕЙ сети найти незарегистрированные ИП? Скорее всего, его прокси используют из-вне, а парень не может отличить свой ИП от чужого - так получается. Хотя... Надо на курсы чтения мыслей на расстоянии записаться. Кто-нибудь знает хорошие? А то писАть всякие догадки уже руки болят. _________________ Удачи! |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Пт Май 07 2004 10:10 Заголовок сообщения: |
|
|
Это ты попробуй пообщаться с and3008 _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Гоша Гость
|
Добавлено: Пт Май 07 2004 10:34 Заголовок сообщения: |
|
|
МММММ ..... Это ...... какая у мя мысль возникла .... Скорее всего админ этот (черный шторм) недооценил кого-то из пользователей сети .У мя на работе тоже самое- вроде Админ считает что я тупой чайник в компах не лабаю, а пароль к админскому компу я все ж узнал !!!!!
Думаю что бесполезно вам админам воевать с пользователями вашей же сети !!! С Пользователями (юзерами) лучше дружить (пригласите их попить пивко с вами ну там с рыбкой , юзеры оценят) . Если с юзерами не дружить это плохо заканчивается для админов .................... ЮЗЕР = САМЫЙ БЕСШАБАШНЫЙ ХАКЕР !!!!! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пт Май 07 2004 10:47 Заголовок сообщения: |
|
|
Гоша писал(а): | ЮЗЕР = САМЫЙ БЕСШАБАШНЫЙ ХАКЕР !!!!! |
Ты про бесшабашность с начальством поговоришь... Потом.... Если захочешь... Пользователей много, со всеми пива не напьешься - сопьется админ. _________________ Удачи! |
|
Вернуться к началу |
|
|
_ShAmAn_
Зарегистрирован: 03.01.2004 Сообщения: 94
|
Добавлено: Пт Май 07 2004 11:19 Заголовок сообщения: |
|
|
Уважаемый "Гоша". Таким злобным юзверям как вы я печень обычно отбиваю сразу, или же всеми силами добиваюсь увольнения с работы таких паскудников, вот....
А тусоваться вам надо на chat.mail.ru, там как раз контингет подходящий, а если блин вас и занесло в такое богоугодное заведение как цитфорум, то лучше тихонько читать чужие посты, желательно даже не логинясь, а не пытаться засорять эфир всяким бредом. А нервы у нас всех тут стальные , здоровье железное, а эрекция титановая, поэтому за%%%ть тут на самом деле никого не получится.
Во как загнул |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пт Май 07 2004 11:33 Заголовок сообщения: |
|
|
Алекс, а почему нет?..
Пример - пожалуйста. Юзер при загрузке на нешел DHCP-сервер (ну может хаб был выключен), а потом связь появилась. При загрузке юзер взял например чебе что-то из 169.254.0.0., вот этот адрес в лог и попадет
Автору - а какие IP Вы там нашли?
На счет недооценки пользователей - опять промах! Глупо ставить себе незарегистрированный как тут было сказано IP, уже имея гарантию что под ним никуда не пройдешь...
А выражение "Пароль к админскому компу" - это как? Пароль на BIOS? И то что ты его узнал подглядыванием делает не тебя умнее а админа неосторожным. |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Май 07 2004 11:33 Заголовок сообщения: |
|
|
Алекс писал(а): | Надо на курсы чтения мыслей на расстоянии записаться. Кто-нибудь знает хорошие? |
вычислили мы тут одного недавно))) зовут and3008 )))
Гоша писал(а): | Админ считает что я тупой чайник в компах не лабаю, а пароль к админскому компу я все ж узнал !!!!! |
ну если бы ты взламал, то тогда бы уже распинался.. а это просто проворонил ваш админ.
Гоша писал(а): | С Пользователями (юзерами) лучше дружить (пригласите их попить пивко с вами ну там с рыбкой , юзеры оценят) |
ну так купили бы рыбки, пивка. пришли бы к админу и попили вместе с ним.
Гоша писал(а): | Если с юзерами не дружить это плохо заканчивается для админов |
наивный чукотский мальчик |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Май 11 2004 09:56 Заголовок сообщения: |
|
|
ALEX_SE писал(а): | Алекс, а почему нет?..
Пример - пожалуйста. Юзер при загрузке на нешел DHCP-сервер (ну может хаб был выключен), а потом связь появилась. При загрузке юзер взял например чебе что-то из 169.254.0.0., вот этот адрес в лог и попадет |
Да, блин! Это-то мне ясно-понятно! Просто парню надо бы разобраться что да как у него в сети адреса получает. Сама постановка вопроса меня приколола слегка.
Цитата: | Автору - а какие IP Вы там нашли? |
Во-во! И что с ними сделали?
Цитата: | На счет недооценки пользователей - опять промах! Глупо ставить себе незарегистрированный как тут было сказано IP, уже имея гарантию что под ним никуда не пройдешь... |
Потому меня "Сама постановка вопроса" и "приколола слегка."
Цитата: | А выражение "Пароль к админскому компу" - это как? Пароль на BIOS? И то что ты его узнал подглядыванием делает не тебя умнее а админа неосторожным. |
Нет, это делает его глазастее! А вообще, хорошо иметь глаза хамелеона - за раз можно "снять" два пароля на рядомстоящих компьютерах! Разминай, Гоша! _________________ Удачи! |
|
Вернуться к началу |
|
|
marmax
Зарегистрирован: 15.04.2004 Сообщения: 14
|
Добавлено: Вт Май 11 2004 11:41 Заголовок сообщения: |
|
|
А что?С Эхом прблемы были? |
|
Вернуться к началу |
|
|
bary
Зарегистрирован: 22.05.2002 Сообщения: 453 Откуда: Moscow
|
Добавлено: Чт Май 13 2004 18:12 Заголовок сообщения: ЛИНК БЛИН |
|
|
darkstorm_ писал(а): | Если бы у меня была книжеца по ИСЕ и ТCP/IP, а самое главное время, я бы вопросов не задавал ! |
посмотри здесь http://www.networkdoc.ru/insop/isa.html |
|
Вернуться к началу |
|
|
Sheff (Дмитрий)
Зарегистрирован: 12.04.2004 Сообщения: 43
|
Добавлено: Пт Май 14 2004 10:29 Заголовок сообщения: |
|
|
Алекс писал(а): | Надо на курсы чтения мыслей на расстоянии записаться. Кто-нибудь знает хорошие? А то писАть всякие догадки уже руки болят. |
Тебе надо у and3008 спросить... где он научился я не знаю... но воть какую сатью читаю и всё удивляюсь _________________ Ищу поклонников Mircosoft... найду - убью |
|
Вернуться к началу |
|
|
watcher Гость
|
Добавлено: Пт Май 14 2004 10:38 Заголовок сообщения: |
|
|
на том же www.networkdoc.ru
www.protocols.ru
www.emanual.ru
информации по tcp/IP&isa полно
а то что книг нет- это полная отмаза.
млин,и сюда Гоша попал...
юзеров недооценивать не надо,но и админов тоже!!
гайки могут быть так закручены,что гамерам и т.д проще будет уволиться (все равно не работают и тема насчет игр только в перерывах,а не во время рабочего процесса- не прокатит!! не верю!) |
|
Вернуться к началу |
|
|
darkstorm
Зарегистрирован: 30.04.2004 Сообщения: 3 Откуда: Moscow
|
Добавлено: Сб Май 15 2004 14:09 Заголовок сообщения: |
|
|
Спасибо за советы ! С исходящим трафиком разобрался - троян (Mydoom кажется) на компах некоторых обнаружил каспером ...
Начальство грит, что юзверя рассылку организовали, не верят что это может троян сделать (я и сам ни разу не сталкивался с действиями трояна). Но ведь для рассылки прогу ставить надо? А ситуация такова, что без пароля администратора прогу не поставить! Пароль сменили, вроде тихо пока ... тфу-тфу-тфу
По поводу незарегистрированных ай пи :
В настройках моей ИСЫ сказано : LAT 192.168.1.1 to 192.168.1.255
так вот в репорт джобе я обнаружил что с компа с ай пи 192.168.29.125 ,допустим ,шел трафик в обе стороны, но моей сети нет машины с таким адресом! Что это может быть? |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Пн Май 17 2004 05:06 Заголовок сообщения: |
|
|
если бы посмотрел внимательнее то увидел бы конкретно какой траффик, скорее всего по SMTP....... значит ктото рассылку делает через твой сервак - возможно тот же троян - айпишник он же может изменить на любой....
ИСУ нада настраивать грамотно... |
|
Вернуться к началу |
|
|
|