Помогите найти источник вируса

[OLEG Doneck]

Вобщем юзеры ходят в инет по локалке на тупых свитчах, через шлюз на фре которая БСД 6.2, который в свою очередь подключён к ADSL модему, который стоит в роутере.

Шлюз подключён к локалке через свитч к которому подключён мой ноутбук.

У всех пропадает интернет, в том числе и у меня, ВПН подключение не рвется, идёт пинг на шлюз и модем но на гугл не пингуется и на страничку неполучается зайти при этом кач с торента идёт

 

1 Перезагружаем модем - связь востанавливается минут на 10, потом повторяется история

2 Вырубаем локалку, но связь востанавливается только после переподключения ВПНа

3 Сидим с ноутбука нормально, в ту секунду как я подключаю локалку в свитч - пинг на гугл пропадает(в эту секунду ещё ни один пользователь не мог подключится по ВПНу и иметь связь с модемом)

 

я так понимаю это какойто вирус - подскажите как найти источник???

[KirillTS]

VPN сервер за модемом находится?

Пробовали модем перевести в бридж?

Может из за большого количества сессий, от того же торрента, он подвисает....

Edited November 21, 2008 by KirillTS

[OLEG Doneck]

VPN сервер за модемом находится?

Пробовали модем перевести в бридж?

Может из за большого количества сессий, от того же торрента, он подвисает....

Модем находится за шлюзом и отдаёт трафик шлюзу, а он уже его нарезает юзерам

Модем в бридж перевести немогу, ПППоЕ не подымается со шлюза, точнее подымается но немогу настроить маршрутизацию

От торента подвисать не может потому как в момент подключения локалки нет ещё ниодного юзверя подключённого по ВПНу кроме меня, соотвецтвенно у них нет доступа к модему, от меня пинг прерывается только на гугл при чём не только с ноута но ещё и на шлюзе тоже падает пинг на гугл в момент подключения локалки

 

модем напрямую воткнут кабелем в сетевуху сервера

 

пробовал менят модемы, симптомы лиш незначительно меняются

Edited November 21, 2008 by OLEG Doneck

[Ivan_83]

DHCP в сетке есть?

арп помониторьте.

[Baikal]

флуд с локалки идет, ищите флудящую сетевуху или свич, вырубайте кусками и смотрите (решение в лоб)

[OLEG Doneck]

DHCP в сетке есть?

арп помониторьте.

DHCP есть привязка ипов по макам

арп мониторинг ничего не даёт

 

флуд с локалки идет, ищите флудящую сетевуху или свич, вырубайте кусками и смотрите (решение в лоб)

флудящего ничего нет, уже проверили...

отрубали кусками и полностью а потом врубали по одному дому, растягивается время после которого пропадает пинг на гугл, причём после этого Длинк 2500u виснет наглухо в том числе и по Вёбу, Планетовский АДЕ-3400 даже после зависания позволяет заходить на вёб но пинг на гугл не пускает, при этом если откинуть локалку с одним компом начинает работать, только втыкаю локалку падает пинг на гугл

 

а что собственно приводит к зависанию модема? может можно его дополнительно настроить чтоб не вис?

 

[Dimasbu]

DHCP в сетке есть?

арп помониторьте.

DHCP есть привязка ипов по макам

арп мониторинг ничего не даёт

 

флуд с локалки идет, ищите флудящую сетевуху или свич, вырубайте кусками и смотрите (решение в лоб)

Длинк 2500u виснет наглухо в том числе и по Вёбу, Планетовский АДЕ-3400 даже после зависания позволяет заходить на вёб но пинг на гугл не пускает, при этом если откинуть локалку с одним компом начинает работать, только втыкаю локалку падает пинг на гугл

 

а что собственно приводит к зависанию модема? может можно его дополнительно настроить чтоб не вис?

доступ по web со шлюза работает? или из сети? похоже на то что одна подсеть локалки и модема, у какого то устройства в сети ip такой же как у модема, как вариант выдернуть линк модема и попинговать его ip

[route#]

Модем в бридж. Не может модем столько потянуть.

[alcool]

модем но на гугл не пингуется и на страничку неполучается зайти при этом кач с торента идёт

пинг ранее запущенный? может это днс?

[Ivan_83]

Может у вас тот самый вирус который подменяет днс сервера рассылая ложные дхцп пакеты.

 

Железно пропишите ДНС на машине. Попробуйте пинговать с самого модема, обычно в веб морде есть пингатор.

 

И ещё оч похоже что на модеме кончается память из за кучи одновременных соединений, и он просто не может больше натить.

 

Может ещё чтонибкть по протоколу рип, если он включён.

Edited November 22, 2008 by Ivan_83

[OLEG Doneck]

DHCP в сетке есть?

арп помониторьте.

DHCP есть привязка ипов по макам

арп мониторинг ничего не даёт

 

флуд с локалки идет, ищите флудящую сетевуху или свич, вырубайте кусками и смотрите (решение в лоб)

Длинк 2500u виснет наглухо в том числе и по Вёбу, Планетовский АДЕ-3400 даже после зависания позволяет заходить на вёб но пинг на гугл не пускает, при этом если откинуть локалку с одним компом начинает работать, только втыкаю локалку падает пинг на гугл

 

а что собственно приводит к зависанию модема? может можно его дополнительно настроить чтоб не вис?

доступ по web со шлюза работает? или из сети? похоже на то что одна подсеть локалки и модема, у какого то устройства в сети ip такой же как у модема, как вариант выдернуть линк модема и попинговать его ip

совпадающие ипы исключены ведь модем находится за шлюзом и кроме него там только пров

 

Модем в бридж. Не может модем столько потянуть.

согласен но до этого скрипя зубами тянул

к тому же кривизна рук не позволяет поднять ПППоЕ со шлюза

модем но на гугл не пингуется и на страничку неполучается зайти при этом кач с торента идёт

пинг ранее запущенный? может это днс?

возможно но как проверить? и если это днс то чем лечить

 

Может у вас тот самый вирус который подменяет днс сервера рассылая ложные дхцп пакеты.

 

Железно пропишите ДНС на машине. Попробуйте пинговать с самого модема, обычно в веб морде есть пингатор.

 

И ещё оч похоже что на модеме кончается память из за кучи одновременных соединений, и он просто не может больше натить.

 

Может ещё чтонибкть по протоколу рип, если он включён.

на какой машине прописать ДНС?

пингатора нет...

про нат согласен, но раньше на это уходили сутки а теперь резко 10 мин

что за рип протокол, можно подробней

[Ivan_83]

ДНС на машине с которой пингуют.

Только смысла в этом мало, раз у вас даже по IP ничего не пингуется.

RIP протокол динамической маршрутизации.

 

Можно ещё попробовать ограничить максимальное колличество одновременных коннектов с одного ИП в вашей сети на самой фряхе, например до 10, это предотвратит забивание НАТ таблицы в модеме.

 

По поводу поднятия пппое во фре, вот конфиг для ппп, подправить логин, пароль и название интерфейса куда воткнут модем. Останется ещё в рц дописать пару строк, и в правилах в качестве внешнего интерфейса использовать tun0.

 

#################################################################
# PPP  Sample Configuration File
# Originally written by Toshiharu OHNO
# Simplified 5/14/1999 by wself@cdrom.com
#
# See /usr/share/examples/ppp/ for some examples
#
# $FreeBSD: src/etc/ppp/ppp.conf,v 1.2.2.5 2001/07/13 10:55:23 brian Exp $
# $DragonFly: src/etc/ppp/ppp.conf,v 1.2 2003/06/17 04:24:48 dillon Exp $
#################################################################

default:
  set log Chat command Connect IPCP LQM tun Warning Error Alert #  Phase
   #set urgent [tcp|udp|none]

webstream:
  set device PPPoE:xl1 # replace xl1 with your Ethernet device
  set authname ЛОГИН
  set authkey ПАРОЛЬ
  set mru 1492
  set mtu 1492
  set ifaddr 10.0.0.1/0 10.0.0.2/0
  enable dns    # Ask the peer what to put in resolv.conf
  set reconnect 5 0 # timeout ntries 
  set redial 16 0 # secs[+inc[-max]][.next] [attempts]
  set cd 5 # [off|seconds[!]]
  set timeout 0 # idle timeout causes the PPP session to be closed
  set speed sync 
  enable lqr 
  accept lqr
  set lqrperiod 8
  set crtscts off 
  set pppoe standard
  set dial
  set login
  add default HISADDR