[Zyx]

FreeBSD 4.9.

Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло.

Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, или может вирус это какой, и надавать по ушам...

Заранее большое спасибо.

[jab]

Меняйте админа.

[Roman Ivanov]

FreeBSD 4.9.  

Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло.  

Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, или может вирус это какой, и надавать по ушам...  

Заранее большое спасибо.

 

Вирусняк у кого то. С трояном.

Так как оборудование, понимаю простое - иди по лампокам ;) на свитчах.

 

По этой причине я в свое время ввел PPPoE, если вирус появится достаточно пароль закомментить.

[Roman Ivanov]

FreeBSD 4.9.  

 

Ты сам то где - Тлн?

[Daemon2561]

FreeBSD 4.9.  

Локалка, приблизительно 150 человек, три подсетки, 192.168.[3,4,5],0/24 .В последнее время наблюдается что-то непонятное. Просто куча запросов изнутри на определенный хост снаружи, притом с вообще непонятных адресов, не с сужестыующих подсеток, вообще со случайных. К примеру, 192.168.84,167, 192.168.54.118... Все 192.168.*.*. И их сотни, тысячи!!! Охренительное количество запросов в секунду. Изза этого natd стал ОЧЕНЬ нагружать процессор, аж на 60%, это на 2.4 проце и люди стали жаловаться на скорость в инете, хотя запас канала по мощности ОГОГО какой. Притом с самого сервера все нормально качается, хреново только изнутри. В файрволе закрыл прохождение запросов этих наружу, не помогло.  

Не подскажете ли, как можно боротся с этим? Или хотя бы как вычислить, кто так балуется, или может вирус это какой, и надавать по ушам...  

Заранее большое спасибо.

 

Червь однозначно!

[Zyx]

DA znaju ja chto virusy, znaju... Odnoznachno:) Ja sprosil ne chto eto, a kak eto reshatj:) Idti po lampochkam ne poluchitsja, t.k. obychnaja aktivnostj toze ogogo kakaja, posemu migaet vse i vezde. Estj konechno zadumka prognatj tehnarej po setke, chtob oni poperemenno otkljuchali segmenty, i t.o. v finale pridti kuda nado, no eto slishkom dolgo, i ne gramotno:) HOtja ochevidno tak i pridetsja sdelatj://

NE skazet li mne kto, po paketu mozno opredelitj MAC oborudovanija otkuda on vyshel?

Eshe variant, napisal skrit, kotoryj prosmatrivaet vazimosvjazj flooda i aktivnyh hostov. No eto nado eshe paru dnej podozzdatj dlja tochnogo rezuljtata...

P.S. Ja ne iz Tallinna, derevenskie my, s provincii na samom severo-vostoke:)

[Roman Ivanov]

DA znaju ja chto virusy, znaju... Odnoznachno:) Ja sprosil ne chto eto, a kak eto reshatj:) Idti po lampochkam ne poluchitsja, t.k. obychnaja aktivnostj toze ogogo kakaja, posemu migaet vse i vezde. Estj konechno zadumka prognatj tehnarej po setke, chtob oni poperemenno otkljuchali segmenty, i t.o. v finale pridti kuda nado, no eto slishkom dolgo, i ne gramotno:) HOtja ochevidno tak i pridetsja sdelatj://

NE skazet li mne kto, po paketu mozno opredelitj MAC oborudovanija otkuda on vyshel?

Eshe variant, napisal skrit, kotoryj prosmatrivaet vazimosvjazj flooda i aktivnyh hostov. No eto nado eshe paru dnej podozzdatj dlja tochnogo rezuljtata...

P.S. Ja ne iz Tallinna, derevenskie my, s provincii na samom severo-vostoke:)

 

Управляемы свитч с SNMP ;)

 

Статистику снять и все видно ;)

[doubtpoint]

Zyx,

Снифером определяешь от какого МАК адреса идут запросы.

1. Если с действительно существующих адресов(скорее всего так и будет), то без проблем определяешь кому принадлежит карточка с таким адресом и разбираешься с владельцем

2. Если с левого МАК, то способ отключение по очереди свичи, потом пользователей. Или строишь статистику у кого комп включен в момент запросов(готовых скриптов, по всей видимости, нет).

 

PS: Наверное у тебя или очень дешевые карты на сервере или не включен девайс пулинг, поэтому такая большая загрузка сервера(даже с файрволом)

 

PSS: По мимо вируса возможно глючат свичи(хотя они обычно глючат по другому)

[Zyx]

Eto.. A ne podskazete li, kakim imenno snifferom? tcpdump - proboval razbiratsja, no tak i ne nashel, kak vychislitj MAC u paketa...

[Kitsok]

ethereal например.

А в tcpdump надо сказать ключик -e

[Гость]

Меняйте админа.

 

Судя по вопросам, ты прав.

[jab]

Да я вообще редко ошибаюсь. :-) У них семь часов packet flood шурует, а они даже man по tcpdump не удосужились прочитать. :-) Что с такой сетью будет при стандартной эпидемии флудовых вирусов типа

сламмера - страшно даже подумать. Хотя им-то плевать, юзер все стерпит.

[Zyx]

Спасибо всем за ответы, с проблемой разобрались, административными методами.

Товарищам советовавшим менять админа - вы себя в начале деятельности вспомните. Или вы родились сразу с обжимом в руке около сервера? Мы первый раз столкнулись с подобной проблемой. Ман по tcpdump прочитан уже давно, просто немного нехватало знаний по TCP/IP и ethernet. Как только проштудировал этот вопрос основательно и досконально понял из чего пакет состоит, все встало на свои места.

И вообще, в форумах надо помогать страждущим, а не тупо орать что все ламеры, и меряться у кого @#$ больше.

В общем, еще раз спасибо тем кто дейтвительно хотел помочь и помог.

[jab]

Вспомнили. :-) В начале нашей деятельности интырнета не было, да и манов было меньше раз в десять.

А гуру на любой вопрос отвечал - "man man". Ну и на очень уж умные вопросы - "man find" или "man grep"

:-)

В результате вопросы быстро кончились и появились ответы... Впрочем, Вам не понять...

[doubtpoint]

Zyx,

Присоединяюсь к совету по сниферу - ethereal очень удобная и много знающая программа .

jab,

А может тогда вообще форум закрыть - зачем он тогда нужен?

[SONET]

Вспомнили. :-) В начале нашей деятельности интырнета не было, да и манов было меньше раз в десять.

А гуру на любой вопрос отвечал - "man man". Ну и на очень уж умные вопросы - "man find" или "man grep"

:-)

В результате вопросы быстро кончились и появились ответы... Впрочем, Вам не понять...

 

Ага и деревья раньше были большие и трава зеленее и проблем было больше.... и тяжелее было ... да с инетом быстрее чем с Ф Мануалом :-) но не факт что проще