Архив форумов ЦИТФорума

[darkstorm_]

Уважаемые господа!
Я столкнулся с проблемой исходящего трафика в сети, вернее с компами, которые этот трафик непонятным образом "создают".
Сеть, которую мне поручили администрировать, управляется MS ISA Сервером, в котором я если честно не очень разбираюсь. Проблема такая :
- при снятии логов (в MS ISA Manager`е) в отчете помимо пользователей имеются ай-пи адреса. За этими адресами наблюдается интересная вещь, они имеют только исходящий траффик. Машины, соответствующие этим адресам я нашел. Пользователей опросил (уровень грамотности у них очень низкий, так что я пока исключил какие то попытки обхода настроек). Результата нет. Что это может быть?

- компания, которая предоставляет нам услуги доступа заявила, что наш траффик составил 2,3 гектара, в то время как Манагер показывает мне общй траффик только 1,5 гига. Ай-пи адрес, с которого снимался лог у провайдера соответствует нашему серваку! Как это объяснить?

- и ещё вопрос: какую программу по подсчету и блокировке траффика вы можете посоветовать использовать. Я пробовал Traffic Inspector, но он слишком навороченый и работать не захотел (в смысле ограничения я поставил а качать он дает по старому, сколько хочешь), а Traffic Filter слишком прост и я так и не нашел у него функцию отчетов ( может просто её нет?), хотя с "обрубкой" траффика у него порядок.

Заранее спасибо!

[Алекс]

Читал "Как правильно задавать вопросы"? Нет? Я тоже ) - длинная статейка - лень, но можно всю ее выразить одной фразой: "Описывай все подробно, со всеми мелочами, выполненными действиями и как можно понятнее!" Понятно изложил?
Какие программы, чего, куда, как?....
Насчет замеров. У меня лежит программка на сайте (в профиле глянь), там есть счетчик трафика и для ИСЫ. Попробуй сравнить показания. Насчет блокировки - ставь файервол дополнительный или смотри настройки ИСЫ.
Ждем вопросов...
_________________
Удачи!

[Arkov]

ISA Server вещь очень хорошая если знаешь как с ней управляться....
Для него придумано несколько прог которые умеют анализировать его логи и выдавать отчёты в читабельном виде, да и у самого ИСА Сервера есть замечательный анализатор логов.
Если знаешь с каких компов идёт траффик и юзеры утверждают что нифига не делают - проверь на вирусы первым делом.....
Сейчас трудно тебе что либо посоветовать.....
Узнай по каким протоколам траффик от юзеров....
Просмотри ручками логи - нет ли там левых адресов....

[darkstorm_]

Кстати ИСА пишет в графе протоколов

- HTTP
- FTP
- UNKNOWN

этот неизвестный это какой?
Причем в графе системы присутствует такая же ОС?

[darkstorm_]

Как запретить скачку с помошью ИСА ?

[ALEX_SE]

Что тут непонятного? Смотри логи ИСЫ, она же их ведет... Отфильтруй по клиентам, по портам... И глянь. Хотя что тут домать - трояна кто-нибудь из них подцепил, вот теперь спам и рассылает...

[darkstorm_]

Обнаружил ай пи незарегистрированные в сети, это как понять?
Уважаемый Алекс я с ИСОЙ всего неделю работаю, что вы хотите?

[ALEX_SE]

Мы хотим чтобы быстренько взяли книжицу по ИСЕ, по TCP/IP, хелп открыли, и почитали бы. Если не очень знающего чела допускают до админства, это не повод говорить что мол, давайте меня всему учите, а то я ведь не знаю...

И в вопросах пишите конкретно! У меня например в отличии от Вас все работает, а разгадывать головоломки в Ваших постах я не намерен...

[darkstorm_]

Тогда зачем разгадываете? Если вас это так утомляет пожалуйста не надо, я не заставляю. Я прошу совета и понимания, а не оценки моих действий.

[darkstorm_]

Если бы у меня была книжеца по ИСЕ и ТCP/IP, а самое главное время, я бы вопросов не задавал !

[darkstorm_]

Но все равно спасибо всем !

[Алекс]

[_ShAmAn_]

Парень, не тормози (сорри за грубость), даю 90% , что у тя в сети полно нетскаев, майдумов, сассеров и прочего зверья. Погоняй каспером или еще какой антивириной, да со свежими базами - и скорее всего это будет решением проблемы.

[Гоша]

Я конечно немогу знать точно что и как ... Но с высоты своего операторского кресла смею предположить что кто-то хакнул вашу сеть и в наглую использует ваш траффик ...... Вот ...... (Вроде сошел за умного .....)

[crash]

[ALEX_SE]

Нет, Гоша, за умного ты опять не сошел.
Когда хакают как ты говоришь сеть (а в данном случае прокси), то никакой выгоды от наглого использования трафика ты не получишь, за исключением одного - анономного прокси. С которого очень запросто рассылать например рекламу. Но, поскольку в данном случае исходящий трафик идет с компьютеров внутренней сети, то наиболее вероятным вариантом будет скорее всего наличие на этих компах троянцев рассылающих спам по всему миру.

[_ShAmAn_]

ALEX_SE - абсолютно согласен, на фоне разгула вирей в этом году такое объяснение кажется наиболее логичным.

[Алекс]

А я все равно не пойму, как можно в СВОЕЙ сети найти незарегистрированные ИП? Скорее всего, его прокси используют из-вне, а парень не может отличить свой ИП от чужого - так получается. Хотя... Надо на курсы чтения мыслей на расстоянии записаться. Кто-нибудь знает хорошие? А то писАть всякие догадки уже руки болят.
_________________
Удачи!

[--= Eagle =--]

Это ты попробуй пообщаться с and3008
_________________
Информация должна быть общедоступной!

[Гоша]

МММММ ..... Это ...... какая у мя мысль возникла .... Скорее всего админ этот (черный шторм) недооценил кого-то из пользователей сети .У мя на работе тоже самое- вроде Админ считает что я тупой чайник в компах не лабаю, а пароль к админскому компу я все ж узнал !!!!!
Думаю что бесполезно вам админам воевать с пользователями вашей же сети !!! С Пользователями (юзерами) лучше дружить (пригласите их попить пивко с вами ну там с рыбкой , юзеры оценят) . Если с юзерами не дружить это плохо заканчивается для админов .................... ЮЗЕР = САМЫЙ БЕСШАБАШНЫЙ ХАКЕР !!!!!

[Алекс]

[_ShAmAn_]

Уважаемый "Гоша". Таким злобным юзверям как вы я печень обычно отбиваю сразу, или же всеми силами добиваюсь увольнения с работы таких паскудников, вот....
А тусоваться вам надо на chat.mail.ru, там как раз контингет подходящий, а если блин вас и занесло в такое богоугодное заведение как цитфорум, то лучше тихонько читать чужие посты, желательно даже не логинясь, а не пытаться засорять эфир всяким бредом. А нервы у нас всех тут стальные , здоровье железное, а эрекция титановая, поэтому за%%%ть тут на самом деле никого не получится.
Во как загнул

[ALEX_SE]

Алекс, а почему нет?..
Пример - пожалуйста. Юзер при загрузке на нешел DHCP-сервер (ну может хаб был выключен), а потом связь появилась. При загрузке юзер взял например чебе что-то из 169.254.0.0., вот этот адрес в лог и попадет

Автору - а какие IP Вы там нашли?

На счет недооценки пользователей - опять промах! Глупо ставить себе незарегистрированный как тут было сказано IP, уже имея гарантию что под ним никуда не пройдешь...

А выражение "Пароль к админскому компу" - это как? Пароль на BIOS? И то что ты его узнал подглядыванием делает не тебя умнее а админа неосторожным.

[crash]

[Алекс]

[marmax]

А что?С Эхом прблемы были?

[bary]

[Sheff (Дмитрий)]

[watcher]

на том же www.networkdoc.ru
www.protocols.ru
www.emanual.ru
информации по tcp/IP&isa полно

а то что книг нет- это полная отмаза.

млин,и сюда Гоша попал...
юзеров недооценивать не надо,но и админов тоже!!
гайки могут быть так закручены,что гамерам и т.д проще будет уволиться (все равно не работают и тема насчет игр только в перерывах,а не во время рабочего процесса- не прокатит!! не верю!)

[darkstorm]

Спасибо за советы ! С исходящим трафиком разобрался - троян (Mydoom кажется) на компах некоторых обнаружил каспером ...
Начальство грит, что юзверя рассылку организовали, не верят что это может троян сделать (я и сам ни разу не сталкивался с действиями трояна). Но ведь для рассылки прогу ставить надо? А ситуация такова, что без пароля администратора прогу не поставить! Пароль сменили, вроде тихо пока ... тфу-тфу-тфу

По поводу незарегистрированных ай пи :
В настройках моей ИСЫ сказано : LAT 192.168.1.1 to 192.168.1.255
так вот в репорт джобе я обнаружил что с компа с ай пи 192.168.29.125 ,допустим ,шел трафик в обе стороны, но моей сети нет машины с таким адресом! Что это может быть?

[Arkov]

если бы посмотрел внимательнее то увидел бы конкретно какой траффик, скорее всего по SMTP....... значит ктото рассылку делает через твой сервак - возможно тот же троян - айпишник он же может изменить на любой....
ИСУ нада настраивать грамотно...