Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
vgrinin Гость
|
Добавлено: Ср Июн 16 2004 10:30 Заголовок сообщения: Бешеный траффик с DNS-сервером |
|
|
Несколько дней назад столкнулся с такой проблемой.
В субботу наша организация не работала, а интернет-траффик в этот день перевалил за 200 мегабайт. Посмотрел логи на ISA-сервере по IP-пакетам и обнаружил что основная масса запросов идет к DNS-серверу нашего провайдера по 53 порту UDP, причем удаленный порт остается 53, а локальный порт наращивает каждый раз на 1, проходя весь интервал от 3001 до 65534. Причем сканирование идет 20 раз в секунду. за день набежало несколько миллионов запросов по UDP.
Что это за сканирование портов такое? Или может вирус? Или настройки кривые? Или руки у меня? |
|
Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002 Сообщения: 622
|
Добавлено: Ср Июн 16 2004 10:52 Заголовок сообщения: |
|
|
в худшем случае ИСА должна показать с каких айпи траффик идёт и какой (входящий или исходящий),
в лучшем может показать какой программой делали сканирование портов.......
коппайся в логах лучше.. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Июн 16 2004 11:49 Заголовок сообщения: |
|
|
А подключение вообще в твоей конторе как осуществляется? _________________ Удачи! |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Ср Июн 16 2004 11:55 Заголовок сообщения: |
|
|
вот кусочек лога, остальная его часть в точности повторяет эту, только порт 34587 постоянно наращивается на единицу. За первую секунду лога таких строчек набежало аж 70 !!! Я не знаю куда еще смотреть! Такая хрень была всего два дня, но я не хочу чтобы она повторилась еще раз... Скажите, что мне делать.
date time source-ip destination-ip protocol param#1 param#2 filter-rule interface
2004-06-12 00:00:00 80.68.0.9 80.68.5.231 Udp 53 34587 ALLOWED 80.68.5.231
2004-06-12 00:00:00 80.68.5.231 80.68.0.9 Udp 34587 53 ALLOWED 80.68.5.231
2004-06-12 00:00:00 80.68.0.9 80.68.5.231 Udp 53 34587 ALLOWED 80.68.5.231
2004-06-12 00:00:00 80.68.5.231 80.68.0.9 Udp 34588 53 ALLOWED 80.68.5.231
Здесь 80.68.0.9 - IP нашего предпочитаемого DNS. 80.68.5.231 - наш ИП. |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Чт Июн 17 2004 07:59 Заголовок сообщения: |
|
|
а подключаемся мы через адсл |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пт Июн 18 2004 12:58 Заголовок сообщения: |
|
|
Anonymous писал(а): | а подключаемся мы через адсл |
Да хоть через модем! Дальше-то как в сеть его раздаешь? Чем? ИСА каким тут местом? _________________ Удачи! |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Чт Июн 24 2004 10:15 Заголовок сообщения: |
|
|
а дальше... огранный круг пользователей получает инет напрямую через ИСА-клиент (на ИСА сервере соответственно прописаны разрешения на весь трафик для этих пользователей), все остальные получают инет через вингейт... Вот вкратце и все. Только причем тут способ раздачи инета, если , я повторяю, сумасшедший трафик шел в субботу, когда на фирме не было никого кроме охраны (не имеющей доступа в сеть). |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Чт Июн 24 2004 11:45 Заголовок сообщения: |
|
|
Anonymous писал(а): | огранный круг пользователей получает инет напрямую через ИСА-клиент |
"Напрямую", говоришь?
Цитата: | все остальные получают инет через вингейт... |
Во! Уже теплее! В картине появляются детали...
Цитата: | Вот вкратце и все. Только причем тут способ раздачи инета, если , я повторяю, сумасшедший трафик шел в субботу, когда на фирме не было никого кроме охраны (не имеющей доступа в сеть). |
А способ тут при том, что никто из посетителей этого форума, не знает, что в твоей сети ВООБЩЕ может обращаться к ДНС провайдера, а тем более как!
Подобного рода соединения говорят о том, что твоя машинка очень хотела пообщаться с ДНС-сервером на неопределенный предмет, похожий на разрешение доменного имени. (Это не есть сканироание портов, а нормальная работа по подключению к удаленной машине)Зачем? - ХЗ! Вот теперь и посмотри, может ли твой Вингейт генерировать подобные запросы и зачем?
Еще, посотри, как на клиентах (и простых и "привелигерованных") настроены ДНС - кого они запрашивают - твой комп с ИСА/ВГ или провайдера (для "привелегированных")?
Ну, и на вирусы, разумеется, проверь. У руки! Шучу! _________________ Удачи! |
|
Вернуться к началу |
|
|
|