Jump to content
Калькуляторы

большое количество соединений на 80 порт ПК

Есть сеть с использованием Mikrotik RB1100AHx2 v6.1

LAN(192.168.67.0/24) <-> RB1100AHx2офис1 <-VPN-> RB1100AHx2офис2 <-NAT-> Internet

На некоторых ПК в LAN офиса1 наблюдается аномально большое количество открытых сессий c 80 порта (см. файл).

Думаю что на этих ПК завелся вирус, но вопрос в другом, веренее есть несколько вопросов:

1. Почему адреса источника открывшего сессию стоит внешний адрес? все ПК ходят в Интернет через NAT и напрямую на них никакие порты не проброшены.

2. Даже если выключить ПК, сессии продолжают висеть, до истечения таймра = 24часа. Разве микротик не должен отследить что в сессии больше нет пакетов от одной из сторон и закрыть её?

3. Как можно запретить такие паразитные соединения?

post-117669-006775300 1387514893_thumb.jpg

Share this post


Link to post
Share on other sites

Нужно смотреть не в этом окне. Зайдите на интерфейс, к которому абоненты подключены, нажмите кнопку Torch и поставив все галочки на старт. Там можно отсортировать по скорости, номеру порта и так далее, там будет более полная информация.

Share this post


Link to post
Share on other sites

В Torch можно наблюдать активные потоки данных и их скорость. Если сессия открыта но в ней нет трафика, или передаются еденичные пакет то в torch мы таких сессий не увидим. В моем случае в connection открыто 900 сесий, а в torch трафика по этим сессиям не видно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this