Zyx Опубликовано 29 августа, 2004 · Жалоба FreeBSD 4.9. Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло. Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, или может вирус это какой, и надавать по ушам... Заранее большое спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 августа, 2004 · Жалоба Меняйте админа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 30 августа, 2004 · Жалоба FreeBSD 4.9. Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло. Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, или может вирус это какой, и надавать по ушам... Заранее большое спасибо. Вирусняк у кого то. С трояном. Так как оборудование, понимаю простое - иди по лампокам ;) на свитчах. По этой причине я в свое время ввел PPPoE, если вирус появится достаточно пароль закомментить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 30 августа, 2004 · Жалоба FreeBSD 4.9. Ты сам то где - Тлн? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Daemon2561 Опубликовано 30 августа, 2004 · Жалоба FreeBSD 4.9. Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло. Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, или может вирус это какой, и надавать по ушам... Заранее большое спасибо. Червь однозначно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zyx Опубликовано 30 августа, 2004 · Жалоба DA znaju ja chto virusy, znaju... Odnoznachno:) Ja sprosil ne chto eto, a kak eto reshatj:) Idti po lampochkam ne poluchitsja, t.k. obychnaja aktivnostj toze ogogo kakaja, posemu migaet vse i vezde. Estj konechno zadumka prognatj tehnarej po setke, chtob oni poperemenno otkljuchali segmenty, i t.o. v finale pridti kuda nado, no eto slishkom dolgo, i ne gramotno:) HOtja ochevidno tak i pridetsja sdelatj:// NE skazet li mne kto, po paketu mozno opredelitj MAC oborudovanija otkuda on vyshel? Eshe variant, napisal skrit, kotoryj prosmatrivaet vazimosvjazj flooda i aktivnyh hostov. No eto nado eshe paru dnej podozzdatj dlja tochnogo rezuljtata... P.S. Ja ne iz Tallinna, derevenskie my, s provincii na samom severo-vostoke:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 30 августа, 2004 · Жалоба DA znaju ja chto virusy, znaju... Odnoznachno:) Ja sprosil ne chto eto, a kak eto reshatj:) Idti po lampochkam ne poluchitsja, t.k. obychnaja aktivnostj toze ogogo kakaja, posemu migaet vse i vezde. Estj konechno zadumka prognatj tehnarej po setke, chtob oni poperemenno otkljuchali segmenty, i t.o. v finale pridti kuda nado, no eto slishkom dolgo, i ne gramotno:) HOtja ochevidno tak i pridetsja sdelatj://NE skazet li mne kto, po paketu mozno opredelitj MAC oborudovanija otkuda on vyshel? Eshe variant, napisal skrit, kotoryj prosmatrivaet vazimosvjazj flooda i aktivnyh hostov. No eto nado eshe paru dnej podozzdatj dlja tochnogo rezuljtata... P.S. Ja ne iz Tallinna, derevenskie my, s provincii na samom severo-vostoke:) Управляемы свитч с SNMP ;) Статистику снять и все видно ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
doubtpoint Опубликовано 30 августа, 2004 · Жалоба Zyx, Снифером определяешь от какого МАК адреса идут запросы. 1. Если с действительно существующих адресов(скорее всего так и будет), то без проблем определяешь кому принадлежит карточка с таким адресом и разбираешься с владельцем 2. Если с левого МАК, то способ отключение по очереди свичи, потом пользователей. Или строишь статистику у кого комп включен в момент запросов(готовых скриптов, по всей видимости, нет). PS: Наверное у тебя или очень дешевые карты на сервере или не включен девайс пулинг, поэтому такая большая загрузка сервера(даже с файрволом) PSS: По мимо вируса возможно глючат свичи(хотя они обычно глючат по другому) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zyx Опубликовано 30 августа, 2004 · Жалоба Eto.. A ne podskazete li, kakim imenno snifferom? tcpdump - proboval razbiratsja, no tak i ne nashel, kak vychislitj MAC u paketa... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kitsok Опубликовано 31 августа, 2004 · Жалоба ethereal например. А в tcpdump надо сказать ключик -e Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 31 августа, 2004 · Жалоба Меняйте админа. Судя по вопросам, ты прав. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 31 августа, 2004 · Жалоба Да я вообще редко ошибаюсь. :-) У них семь часов packet flood шурует, а они даже man по tcpdump не удосужились прочитать. :-) Что с такой сетью будет при стандартной эпидемии флудовых вирусов типа сламмера - страшно даже подумать. Хотя им-то плевать, юзер все стерпит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zyx Опубликовано 31 августа, 2004 · Жалоба Спасибо всем за ответы, с проблемой разобрались, административными методами. Товарищам советовавшим менять админа - вы себя в начале деятельности вспомните. Или вы родились сразу с обжимом в руке около сервера? Мы первый раз столкнулись с подобной проблемой. Ман по tcpdump прочитан уже давно, просто немного нехватало знаний по TCP/IP и ethernet. Как только проштудировал этот вопрос основательно и досконально понял из чего пакет состоит, все встало на свои места. И вообще, в форумах надо помогать страждущим, а не тупо орать что все ламеры, и меряться у кого @#$ больше. В общем, еще раз спасибо тем кто дейтвительно хотел помочь и помог. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 31 августа, 2004 · Жалоба Вспомнили. :-) В начале нашей деятельности интырнета не было, да и манов было меньше раз в десять. А гуру на любой вопрос отвечал - "man man". Ну и на очень уж умные вопросы - "man find" или "man grep" :-) В результате вопросы быстро кончились и появились ответы... Впрочем, Вам не понять... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
doubtpoint Опубликовано 31 августа, 2004 · Жалоба Zyx, Присоединяюсь к совету по сниферу - ethereal очень удобная и много знающая программа . jab, А может тогда вообще форум закрыть - зачем он тогда нужен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SONET Опубликовано 31 августа, 2004 · Жалоба Вспомнили. :-) В начале нашей деятельности интырнета не было, да и манов было меньше раз в десять. А гуру на любой вопрос отвечал - "man man". Ну и на очень уж умные вопросы - "man find" или "man grep" :-) В результате вопросы быстро кончились и появились ответы... Впрочем, Вам не понять... Ага и деревья раньше были большие и трава зеленее и проблем было больше.... и тяжелее было ... да с инетом быстрее чем с Ф Мануалом :-) но не факт что проще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...