Nick_Par ТС
Мастер
Ветеран форума
Карма +1177/-0
 Offline
Пол: 
Сообщений: 4612
Брянск (32)
Патриот 05-2013
|
 |
« : 22 Октября 2009, 13:17:24 » |
|
Есть сеть около 100 компов. Выход в интернет через винпрокси. С некоторого времени канал стал затыкаться. Винроут пишет ошибку
Cjnnection limit reached.
Думаю что какой-то вирус шлёт запросы в инет и забивает канал. Как определить с какой машины идёт этот мусор. Неделю бьюсь никак не разберусь. Начинается в 9 заканчивается в 17-0.
|
|
|
|
|
Записан
|
Удачи, Николай.  Я помню! Я горжусь! |
|
|
|
fduch0
|
|
« Ответ #1 : 22 Октября 2009, 13:26:35 » |
|
отключать по одному - не?
пс
100 шт
надо по другому...
|
|
|
|
« Последнее редактирование: 22 Октября 2009, 13:28:09 от fduch0 »
|
Записан
|
|
|
|
Nick_Par ТС
Мастер
Ветеран форума
Карма +1177/-0
Offline
Пол:
Сообщений: 4612
Брянск (32)
Патриот 05-2013
|
|
« Ответ #2 : 22 Октября 2009, 13:31:01 » |
|
100 шт на территории в разных кабинетах.
|
|
|
|
|
Записан
|
Удачи, Николай. Я помню! Я горжусь! |
|
|
alex@2141
Ветеран форума
Карма +275/-4
Offline
Сообщений: 5167
Spb n/a
|
|
« Ответ #3 : 22 Октября 2009, 13:32:22 » |
|
не надо искать... Надо лечить. http://products.drweb.com/curenet/ лицензия 100 ПК\1 день 450.00 руб. |
|
|
|
|
Записан
|
|
|
|
|
fduch0
|
|
« Ответ #4 : 22 Октября 2009, 13:33:25 » |
|
статистика ведётся, по адресам?
|
|
|
|
|
Записан
|
|
|
|
alex@2141
Ветеран форума
Карма +275/-4
Offline
Сообщений: 5167
Spb n/a
|
|
« Ответ #5 : 22 Октября 2009, 13:36:11 » |
|
статистика ведётся, по адресам?
я вроде ссылку дал чтобы почитать.. "По окончании сеанса лечения отчет о произведенных Dr.Web CureNet! действиях сохраняется на станции с установленным Мастером Dr.Web CureNet!. В нем отображаются IP-станций, статистика, список обнаруженных угроз и произведенных над ними действий. " ЗЫ. если в сетке что то есть - там уже все компы заражены |
|
|
|
|
Записан
|
|
|
|
harvester
Главный по наклейкам
Ветеран форума
Карма +507/-0
Offline
Пол:
Сообщений: 6566
Москва
2126-030 ДВ/КПП ВАЗ
|
|
« Ответ #6 : 22 Октября 2009, 13:50:47 » |
|
Может и не все... один "хорошенько зараженный" тоже может делов понаделать. Очень легко найти безобразника без софта - см. обмен на свичах  |
|
|
|
|
Записан
|
|
|
|
OVA
Moдератор
Карма +1551/-118
Offline
Пол:
Сообщений: 14739
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
 Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #7 : 22 Октября 2009, 14:06:42 » |
|
см. обмен на свичах А отличать коннект, копирующий к себе по сети с компа коллеги из соседнего отдела новый фильм, от виновного коннекта предлагаешь по вкусу?  Где логи? В логи смотри. Виновный IP, вызвавший эту ошибку, должен быть указан в логах. Нет логов? Ищи в настройках WinRoute, включи, чтобы вел. Не верю, чтоб не умел. |
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет  |
|
|
Elrie
Живёт здесь
Карма +444/-0
Offline
Пол:
Сообщений: 591
Воронеж
Opel Astra H 1.8, белый
Воронеж Opel Astra H 1.8
|
|
« Ответ #8 : 22 Октября 2009, 14:34:50 » |
|
Почему то есть мысль что скорее всего это вирус - спам бот, на их поведение похоже.
Полно такой рассады, канал засирают только так.
Помониторить трафик на шлюзе.
Я бы использовал tcpdump или любой другой сниффер типа Ethereal, WireShark.
Трафик смотреть конечно на шлюзе. Будет видно кто чего и куда шлет.
Отловится на раз - в смысле как и откуда куда.
Помимо лечения надо понять и дырки которыми оно пользуется.
|
|
|
|
|
Записан
|
верно служил прежде ИЖ-2126-020 / 2003 г / дипломат
|
|
|
OVA
Moдератор
Карма +1551/-118
Offline
Пол:
Сообщений: 14739
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #9 : 22 Октября 2009, 14:40:49 » |
|
Почему то есть мысль что скорее всего это вирус - спам бот, на их поведение похоже.
Полно такой рассады, канал засирают только так.
Помониторить трафик на шлюзе.
Я бы использовал tcpdump или любой другой сниффер типа Ethereal, WireShark
Отловится на раз - в смысле как и откуда куда.
Помимо лечения надо понять и дырки которыми оно пользуется.
Дырки... Дырки как раз есть всегда по умолчанию. Трафик исходящий по умолчанию разрешен любой. А входящий - только то, что на запросы через NAT вышло. Так что если не определены политики исходящего трафика, то тут ловить нечего. Будут и сканеры портов садиться в систему и работать успешно, и спам-боты почту рассылать будут исправно. |
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет |
|
|
harvester
Главный по наклейкам
Ветеран форума
Карма +507/-0
Offline
Пол:
Сообщений: 6566
Москва
2126-030 ДВ/КПП ВАЗ
|
|
« Ответ #10 : 22 Октября 2009, 15:07:24 » |
|
OVA, нет конечно, но можно попробовать  Их нужно просто все повключать/оставить после работы включенными, завершить все одинэски и тд, и, когда юзеров нет, смотреть в оба  Тут все и станет ясно. Обычный обмен отличить от постоянных запросов оч. легко |
|
|
|
|
Записан
|
|
|
|
|
Klemanso
|
|
« Ответ #11 : 22 Октября 2009, 15:19:05 » |
|
Есть сеть около 100 компов. Выход в интернет через винпрокси. С некоторого времени канал стал затыкаться. Винроут пишет ошибку
Cjnnection limit reached.
Думаю что какой-то вирус шлёт запросы в инет и забивает канал. Как определить с какой машины идёт этот мусор. Неделю бьюсь никак не разберусь. Начинается в 9 заканчивается в 17-0.
а ты не пробовал пойти по такому пути : на гейте поставить сетевой антивирус, который пасет всю толпу разом и сам тебе шлет сразу кто и что и куда? я вот эту мандулу развернул на 128 компутеров, причем 28 из них - в отдельностоящих офисах.... однако 3 года живу безболезненно... |
|
|
|
|
Записан
|
 Памяти DNS посвящается.... |
|
|
OVA
Moдератор
Карма +1551/-118
Offline
Пол:
Сообщений: 14739
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #12 : 22 Октября 2009, 15:23:44 » |
|
Обычный обмен отличить от постоянных запросов оч. легко Да тут нам внутренний обмен до лампочки. Кто-то через NAT ломится наружу, превышая разрешенный лимит WinRout'а на количество исходящих коннектов через NAT на один IP-адрес (есть параметр в реестре где-то, а может и в параметрах WinRout'а даже регулируется, скорее всего, я уже точно не помню). Этот "кто-то" имеет свой IP-адрес во внутренней сети. Этот IP-адрес WinRoute обязан зарегистрировать в логах наравне с формированием сообщения на экране. Далее вычисляем по адресу виновника, идем к нему, отключаем от сети, лечим. Хорошо, если только одного. В таких ситуациях начинают жалеть о сэкономленных деньгах на корпоративный антивирус. |
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет |
|
|
Nick_Par ТС
Мастер
Ветеран форума
Карма +1177/-0
Offline
Пол:
Сообщений: 4612
Брянск (32)
Патриот 05-2013
|
|
« Ответ #13 : 22 Октября 2009, 15:28:34 » |
|
а ты не пробовал пойти по такому пути :
на гейте поставить сетевой антивирус, который пасет всю толпу разом и сам тебе шлет сразу кто и что и куда?
я вот эту мандулу развернул на 128 компутеров, причем 28 из них - в отдельностоящих офисах....
однако 3 года живу безболезненно...
А какой посоветуешь? |
|
|
|
|
Записан
|
Удачи, Николай. Я помню! Я горжусь! |
|
|
|
Klemanso
|
|
« Ответ #14 : 22 Октября 2009, 15:32:23 » |
|
у меня пресловутый аваст установлен....
с 2003 года все прочее только как одноразовую попутку пользую...
8 провайдеров (объектов защиты по ихнему)......
самое интересное - что география сети такова :
Испания- Польша- Украина- Россия (Москва-Урал-Краснодар)
и как ни странно - везде подошло самым лучшим образом...
и местных ловит и наши российские не пущает не ниже 85 %.....
|
|
|
|
|
Записан
|
Памяти DNS посвящается.... |
|
|
|
