Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Terpila
Зарегистрирован: 15.06.2005 Сообщения: 6
|
Добавлено: Ср Июн 15 2005 16:27 Заголовок сообщения: Взломали сеть |
|
|
Проблема такая:
За 2 рабочих дня превышение трафика на одну машину в сети составило 30Gb, при том что обычный расход трафика примерно 500Мб/месяц.Соотношение входящего трафика к исходящему примерно 6,10Gb/128 Mb.
Следов этого входящего трафика на машине не обнаружено....
система W2K SP4 + касперский+Ad-Aware. Стоит Outpost, но он был отключен какраз в эти 2 дня.
Собственно вопрос - как такое могло случиться и можно ли найти какие-либо следы? |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
Добавлено: Ср Июн 15 2005 17:18 Заголовок сообщения: |
|
|
читайте логи.
входящий траффик всегда больше исходящего.
что могло быть? например ломилась всякая дрянь из сети, на незакрытые порты. либо качали кино и музу внаглую :) а потом на болванки и домой :) |
|
Вернуться к началу |
|
|
Terpila
Зарегистрирован: 15.06.2005 Сообщения: 6
|
Добавлено: Ср Июн 15 2005 17:26 Заголовок сообщения: |
|
|
squirL
За машиной сидел только я, к тому же на ней не так много свободного места, чтобы не заметить вновь появившихся 6 Gb |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
Добавлено: Ср Июн 15 2005 17:31 Заголовок сообщения: |
|
|
а логи прокси/файерволла посмотреть не судьба? |
|
Вернуться к началу |
|
|
Terpila
Зарегистрирован: 15.06.2005 Сообщения: 6
|
Добавлено: Ср Июн 15 2005 17:38 Заголовок сообщения: |
|
|
squirL
"... Стоит Outpost, но он был отключен какраз в эти 2 дня." |
|
Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005 Сообщения: 371 Откуда: Одесса
|
Добавлено: Ср Июн 15 2005 17:42 Заголовок сообщения: |
|
|
я умею читать. у вас что, изолированная машина? с отдельным выходом в Интернет?
было сказано:
Код: | превышение трафика на одну машину в сети |
подразумевается наличие нескольких машин, используемых для выхода в инет через некий шлюз. что там стоит - прокси, NAT это уже детали. |
|
Вернуться к началу |
|
|
Terpila
Зарегистрирован: 15.06.2005 Сообщения: 6
|
Добавлено: Ср Июн 15 2005 17:59 Заголовок сообщения: |
|
|
squirL
Sorry... Понялл. Сейчас как раз прошу информацию у провайдера. |
|
Вернуться к началу |
|
|
Terpila
Зарегистрирован: 15.06.2005 Сообщения: 6
|
Добавлено: Ср Июн 15 2005 18:17 Заголовок сообщения: |
|
|
Провайдер дал только IPадреса откуда все эти гигабайты качались и все. |
|
Вернуться к началу |
|
|
Zalexandr
Зарегистрирован: 06.05.2005 Сообщения: 31
|
Добавлено: Ср Июн 15 2005 18:38 Заголовок сообщения: |
|
|
Ларчик просто открывается.
Для начала у провайдера пожалуйста потребуй детализацию и время "прихода" этих мегабайт на твой айпи адрес.
Сравни это время со временем - когда работает твоя машина. Если твоя машина на ночь выключается - то не удивительно будет - если этот траф как раз в ночное время суток и шел.
А теперь открываем ларчик.. Делаю предположение, что появился в сети в вашей ( любой другой пользователь провайдера вашего, который находиться в вашем сегменте, если сеть сегментирована и настроена маршрутизация). И вот этот пользователь просканил сеть на айпи и их мак адреса. А вот когда ваша машина отключается - он делает чудотворную для себя вещь - меняет мак адрес своей сетевой на мак вашей сетевой и соотеветственно ставит ваш айпи, и о чудо ! он в инете, вы спите, а он балдеет.
Это все конечно справедливо, если нет защиты входа в инет по паролю или VPN - ну этоуж как кто извратиться. |
|
Вернуться к началу |
|
|
Zalexandr
Зарегистрирован: 06.05.2005 Сообщения: 31
|
Добавлено: Ср Июн 15 2005 18:41 Заголовок сообщения: |
|
|
О.. и еще раз поврорюсь по поводу следов. Это уточняй у провайдера. Главное узнай время - когда шел траффик и сравни со временем работы своей машины.
А если окажетсья что в это время машина была ваша отключена - то слова провайдера - типа - траф на ваш айпи и неипет не катет. Они не смогли обеспечить защиту. (Это все справедливо если речь идет об арпспуфинге.) |
|
Вернуться к началу |
|
|
Terpila
Зарегистрирован: 15.06.2005 Сообщения: 6
|
Добавлено: Ср Июн 15 2005 18:55 Заголовок сообщения: |
|
|
Zalexandr
В том то все и дело, что по времени все совпадает, машина включена - трафик гонится.
Вот еще что, в журнале событий Windows, за эти дваня появилась такая ощибка. Источник "Perflib", событие 1008.
Код: | Сбой процедуры открытия для службы "Nbf" в библиотеке "C:\Winnt\system32\perfctrs.dll" Данные о призвод-ти данной службы будут не доступны. возвращенный код состояния в DWORD 0. |
|
|
Вернуться к началу |
|
|
MiK
Зарегистрирован: 03.04.2002 Сообщения: 333 Откуда: пос. Ново-%буново
|
Добавлено: Ср Июн 15 2005 20:38 Заголовок сообщения: |
|
|
Информация о расходе траффика предоставлена провайдером? Требуй логов сертифицированного биллинга. Если биллинг не сертифицирован и в оказании активной помощи отказывают посылай их на нах. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Июн 17 2005 07:51 Заголовок сообщения: |
|
|
Я бы запросил расширеные логи. С IP-адресами и портами.
Возможно твой комп использовали как прокси, а возможно у тебя стоит некий софт, который интенсивно что-то качает. Вариантов много. |
|
Вернуться к началу |
|
|
|