Alba Posted January 10, 2004 Posted January 10, 2004 кто подскажет, _что_ генерит такой траффик? 192.168.67.118 - мой абонент 207.46.130.100 - time.windows.com 123 порт - ntp пакеты летят больше сотни в секунду... у клиента - XP на сервере смотрю tcpdump-ом -- 05:18:11.396110 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.397124 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.398115 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.399119 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.400122 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.401126 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.402127 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.403137 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.404135 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.405259 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.406141 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.407147 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.408146 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.409150 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.410153 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.411153 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.412344 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.413217 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.414165 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.415287 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.416172 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.417224 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.418177 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.419182 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.420184 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.421186 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.422190 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.423192 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.424195 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.425292 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.426202 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.427633 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.428769 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.429234 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 05:18:11.430236 192.168.67.118.123 > 207.46.130.100.123: v3 sym_act strat 0 poll 4 prec -6 -- Вставить ник Quote
f13 Posted January 10, 2004 Posted January 10, 2004 время по протоколу ntp синхронизируют описание можно найти здесь http://www.ntp.org/ Вставить ник Quote
hirurg Posted January 10, 2004 Posted January 10, 2004 Да, только к томуже ntp сервер не отвечает, поэтому и куча пакетов. (Винды, че поделать) Вставить ник Quote
Alba Posted January 11, 2004 Author Posted January 11, 2004 насчёт того, что такое ntp я в курсе, просто чё-то странно как-то он пытается засинхронизироваться - почему так _обильно_ :) Вставить ник Quote
Guest Posted December 20, 2004 Posted December 20, 2004 Рассматривал трафик.... и прикол по этому протоколу у одного моего юзверя уходило аж по 80 мег в где-то полчаса-час......:))))) это-ж надо так! Вставить ник Quote
telefan Posted December 21, 2004 Posted December 21, 2004 Аналогичная байда и у нас в сетке, рекорд - 118 мбайт за одно соединение!!! Рекомендую клиентам отключать автоматическую синхронизацию времени. Вставить ник Quote
Guest Posted June 26, 2005 Posted June 26, 2005 У меня такая же телега! Качнул 207.46.130.100 487 Мб Подскажите могли ли это так накачать винды 2000 ? Вставить ник Quote
Vicus Posted June 27, 2005 Posted June 27, 2005 подозреваю, что клиент заражен каким-нить трояном, который DoS'ит мелкософт... Вставить ник Quote
Guest Posted June 27, 2005 Posted June 27, 2005 Вирь товарищи!!! Мы так за пару гигов за день сделали!!! Бролись навалив на все (ну или на шлюз если возможно) аутпост и закрыли ВСЕ!!! порты , включая системные, на одной тачке исходящий трафик мотало как бешенный. после ее фоматирования все стало ок. Вирь подменил службу svhost!!!! Вставить ник Quote
Shiva Posted June 27, 2005 Posted June 27, 2005 stella, Вирь подменил службу svhost!!!! Её не возможно подменить :) Можно запустить рядышком одноимённую. Вставить ник Quote
Bens Posted June 28, 2005 Posted June 28, 2005 Вирь подменил службу svhost!!!!, я с ним так боролся: берешь доктор веб с последним обнорвлением снимаешь все процессы свхост как ты снимешь у тя 30 сек чтоб проверить папку виндоус Вот только у мя он щас на сервере а как мочкануть неперезагружая я незнаю можь есть у кого опыт??? Вставить ник Quote
Barsick Posted June 28, 2005 Posted June 28, 2005 снимаешь все процессы свхост как ты снимешь у тя 30 сек чтоб проверить папку виндоус Переставляешь системное время на сутки назад - и у тебя сутки на проверку :) Вставить ник Quote
Solo Posted June 28, 2005 Posted June 28, 2005 Переставляешь системное время на сутки назад - и у тебя сутки на проверку :) Или команда shutdown -a Тогда хоть запроверяйся. Но при этом RPC фунциклировать практически не будет. Вставить ник Quote
Shiva Posted June 28, 2005 Posted June 28, 2005 Bens, Вот только у мя он щас на сервере а как мочкануть неперезагружая я незнаю можь есть у кого опыт??? Есть :) Как вирус называется? Вставить ник Quote
Bens Posted July 4, 2005 Posted July 4, 2005 Shiva, Win32.HLLP.Jeefo.32356 (DrWeb) P.S. извеняюсь что поздно ответил, уезжал....... Вставить ник Quote
bjacka Posted July 4, 2005 Posted July 4, 2005 Alba, ну а почему бы не закрыть на серваке 123 порт и все? Вставить ник Quote
mkmv Posted July 9, 2005 Posted July 9, 2005 iptables -A FORWARD -s $lokala_ip_range -j tcp_filter_frwd iptables -A FORWARD -s $lokala_ip_range -j udp_filter_frwd iptables -A FORWARD -s $lokala_ip_range -j icmp_filter_frwd p.s. намек на фильтрацию транзитного трафика. p.p.s. Jeefo еще и exe-файлы громит :) А вот каспер отписался так: "Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла. При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл. Вирус никак не проявляет своего присутствия в системе." безобидный вирус lol)) ржунимагу Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.