Перейти к содержимому
Калькуляторы

Что за трафик?

Добрый день. Недавно возникла ситуация - клиент, ранее особо не отличавшийся активностью, за полдня набрал 11 гигов исходящего трафика. Отрубили, позвонили, клиент естесственно не вкурсе... посмотрели логи, там кусками по 4-5мб коннекты на близкие по диапазону адреса, типа:

 

194.67.7.1 -- 0 -- 192.168.20.21 -- 0 -- 1 -- 2 596 -- 5 275 072

 

То есть протокол ICMP. Запросы шли с 8-го порта на 0. Ответы как видно с 0 на 0. Входящего набралось около 1,5 Г.

Решили вирус, пришли глядеть. Тем более что нод человеку сами ставили. Все чистенько, никаких намеков на зловредный вирус. Пожали плечами, включили, вот уже неделя прошла, все ок. Клиент возможный факт закачки не отрицает, но просит найти возможную причину, чтобы хоть как-то объяснить сумму счета за трафик начальству(ну и уберечься по возможности).

Кто-нибудь может предположить причину?

Изменено пользователем manfut

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://ru.wikipedia.org/wiki/ICMP

http://ru.wikipedia.org/wiki/Ping

 

8 - Эхо-запрос

0 - Эхо-ответ

 

утилита пинг в стандартном режиме посылает раз в секунду небольшие пакеты с эхо-запросом (размер зависит от реализации). Если предположить, что на каждый эхо запрос приходит эхо-ответ в 64 байта, то за 1 час компьютер клиента получил бы 64*3600=230400 байт входящего трафика. За 12 часов объем бы составил 2764800 байт.

В вашем же случае объем исходящего трафика составил 11 гигов, а входящего трафика составил порядка 1,5 гигов. Это называется пинг-флуд. Скорее всего этот компьютер заражен трояном и участвовал в распределенной ДОС - атаке.

Что нужно сделать:

1. Найти и обезвредить трояна. Если его не нашел НОД32 - это еще ничего не значит.

2. Довести с цифрами до сведения абонентов вашей сети, как плохо бывает тем, кто не борется с вирусами.

3. На своем маршрутизаторе запретить прохождение более 10 пингов в секунду для одного ИП-адреса (если есть техническая возможность)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А нет ли образца пункта 2?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А нет ли образца пункта 2?...
К сожалению, не сохранилось.

 

Если в вашей сети есть активно работающий форум - это очень хорошее место для правильной настройки пользователей. В данном случае я бы запостил душераздирающий рассказ о том, что по вине вируса один из наших абонентов (только не надо говорить, кто) потерял более (тут должна быть большая сумма) рублей. Было бы здорово упомянуть, что благодаря вашей техподдержке проблему удалось быстро устранить, что позволило избежать еще более крупных потерь (но только в случае, если она такую помощь оказала. Ни в коем случае не врать если техподдержка облажалась). Далее призвать абонентов к бдительности и привести адреса для скачки бесплатных антивирусов.

 

Если данное послание будет достаточно грамотно составлено, то

1. Абонент увидит, что провайдер заботится о нем и о его бюджете - это всегда приятно

2. Абонент будет напуган возможными финансовыми потерями, а напуганный таким образом абонент начинает чуть больше думть головой.

3. Абонент увидет, что служба техподдержки может помочь ему решить проблему, а не пошлет его на маршрут по умолчанию. Это плюс к лояльности абонента.

4. Часть абонентов скачает себе антивирусы что безусловно хорошо во всех отношениях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

утилита пинг в стандартном режиме посылает раз в секунду небольшие пакеты с эхо-запросом (размер зависит от реализации). Если предположить, что на каждый эхо запрос приходит эхо-ответ в 64 байта, то за 1 час компьютер клиента получил бы 64*3600=230400 байт входящего трафика. За 12 часов объем бы составил 2764800 байт.

В вашем же случае объем исходящего трафика составил 11 гигов, а входящего трафика составил порядка 1,5 гигов. Это называется пинг-флуд. Скорее всего этот компьютер заражен трояном и участвовал в распределенной ДОС - атаке.

То что это пинг я и так понял, вот что троян сомнительно было... по опыту использования НОДа, он если и не убивает, то хотябы обнаруживает эту дрянь... думал мож служба виндовая какая заглючила...

В любом случае спасибо, и кстати, про ограничение, средствами IPFW или иными способами как это можно на Фре организовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

man ipfw, есть там место про limit src/dst/mask.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Было такое у одного товарища... быстро заметил это дело на шлюзе и для проверки запустил TCPView, который наглядно показал наличие вируса, несмотря на каспера... установленный аваст все вычистил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вы даете. Разве можно хоть одному антивирю доверять на 100%?

Ребятам заказали ДДоС. Они написали трояна. Заслали. Ждали команды. В антивирусных базах его нет. Пока нет. А может и не будет никогда. С момента запуска в сеть трояна и до ввода его в базу может и год пройти. А все это время он что хочет то и творит.

У меня антивирь обязательно идет в паре с фаерволом. Причем главное это его хорошо настроить. От плохо настроенного больше вреда чем пользы. Самоуспокоение одно. Если есть внешний айпишник и еще и не за НАТом, то вы замахаетесь отмахиваться от атак. Фаер запросто может каждую секунду орать разные адреса атак.

Мне нравится аваст и камодо фаерволл (По ХРюшку). Но на вкус и цвет, как говорится... И не надо спорить по поводу выбора. Уже много копий сломано. Но я именно с таким тандемом только и почуствовал себя спокойней (по-крайней мере за пол-года использования этого тандема ни одного пакета не пошло куда ни надо. И ни одного виря не пропустил к себе. Хотя раздражает что аваст не ловит на лету влетающие вири которые в даунлод файле. Надеюсь пофиксят.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такую хрень замечаю уже месяц с переодичностью 1-2 недели по 1-4 юзера начинают флудить icmp на 1-2 внешних ипа, борюсь пока руками

 

по поводу фаервола - вин 2003 + все обновления БЕЗ фаервола с реальником и емулом и торентом - 2 года полет нормальный - все вирусы и трояны юзеры сами инсталят или отсутствуют обновления ос

Изменено пользователем IvanI

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.