ed1976

В Torch можно наблюдать активные потоки данных и их скорость. Если сессия открыта но в ней нет трафика, или передаются еденичные пакет то в torch мы таких сессий не увидим. В моем случае в connection открыто 900 сесий, а в torch трафика по этим сессиям не видно.

Есть сеть с использованием Mikrotik RB1100AHx2 v6.1 LAN(192.168.67.0/24) <-> RB1100AHx2офис1 <-VPN-> RB1100AHx2офис2 <-NAT-> Internet На некоторых ПК в LAN офиса1 наблюдается аномально большое количество открытых сессий c 80 порта (см. файл). Думаю что на этих ПК завелся вирус, но вопрос в другом, веренее есть несколько вопросов: 1. Почему адреса источника открывшего сессию стоит внешний адрес? все ПК ходят в Интернет через NAT и напрямую на них никакие порты не проброшены. 2. Даже если выключить ПК, сессии продолжают висеть, до истечения таймра = 24часа. Разве микротик не должен отследить что в сессии больше нет пакетов от одной из сторон и закрыть её? 3. Как можно запретить такие паразитные соединения?