Архив форумов ЦИТФорума

[Terpila]

Проблема такая:
За 2 рабочих дня превышение трафика на одну машину в сети составило 30Gb, при том что обычный расход трафика примерно 500Мб/месяц.Соотношение входящего трафика к исходящему примерно 6,10Gb/128 Mb.
Следов этого входящего трафика на машине не обнаружено....
система W2K SP4 + касперский+Ad-Aware. Стоит Outpost, но он был отключен какраз в эти 2 дня.

Собственно вопрос - как такое могло случиться и можно ли найти какие-либо следы?

[squirL]

читайте логи.
входящий траффик всегда больше исходящего.
что могло быть? например ломилась всякая дрянь из сети, на незакрытые порты. либо качали кино и музу внаглую :) а потом на болванки и домой :)

[Terpila]

squirL
За машиной сидел только я, к тому же на ней не так много свободного места, чтобы не заметить вновь появившихся 6 Gb

[squirL]

а логи прокси/файерволла посмотреть не судьба?

[Terpila]

squirL
"... Стоит Outpost, но он был отключен какраз в эти 2 дня."

[squirL]

я умею читать. у вас что, изолированная машина? с отдельным выходом в Интернет?
было сказано:

[Terpila]

squirL
Sorry... Понялл. Сейчас как раз прошу информацию у провайдера.

[Terpila]

Провайдер дал только IPадреса откуда все эти гигабайты качались и все.

[Zalexandr]

Ларчик просто открывается.
Для начала у провайдера пожалуйста потребуй детализацию и время "прихода" этих мегабайт на твой айпи адрес.
Сравни это время со временем - когда работает твоя машина. Если твоя машина на ночь выключается - то не удивительно будет - если этот траф как раз в ночное время суток и шел.
А теперь открываем ларчик.. Делаю предположение, что появился в сети в вашей ( любой другой пользователь провайдера вашего, который находиться в вашем сегменте, если сеть сегментирована и настроена маршрутизация). И вот этот пользователь просканил сеть на айпи и их мак адреса. А вот когда ваша машина отключается - он делает чудотворную для себя вещь - меняет мак адрес своей сетевой на мак вашей сетевой и соотеветственно ставит ваш айпи, и о чудо ! он в инете, вы спите, а он балдеет.
Это все конечно справедливо, если нет защиты входа в инет по паролю или VPN - ну этоуж как кто извратиться.

[Zalexandr]

О.. и еще раз поврорюсь по поводу следов. Это уточняй у провайдера. Главное узнай время - когда шел траффик и сравни со временем работы своей машины.
А если окажетсья что в это время машина была ваша отключена - то слова провайдера - типа - траф на ваш айпи и неипет не катет. Они не смогли обеспечить защиту. (Это все справедливо если речь идет об арпспуфинге.)

[Terpila]

Zalexandr
В том то все и дело, что по времени все совпадает, машина включена - трафик гонится.

Вот еще что, в журнале событий Windows, за эти дваня появилась такая ощибка. Источник "Perflib", событие 1008.

[MiK]

Информация о расходе траффика предоставлена провайдером? Требуй логов сертифицированного биллинга. Если биллинг не сертифицирован и в оказании активной помощи отказывают посылай их на нах.

[and3008]

Я бы запросил расширеные логи. С IP-адресами и портами.

Возможно твой комп использовали как прокси, а возможно у тебя стоит некий софт, который интенсивно что-то качает. Вариантов много.