ed1976 Опубликовано 20 декабря, 2013 · Жалоба Есть сеть с использованием Mikrotik RB1100AHx2 v6.1 LAN(192.168.67.0/24) <-> RB1100AHx2офис1 <-VPN-> RB1100AHx2офис2 <-NAT-> Internet На некоторых ПК в LAN офиса1 наблюдается аномально большое количество открытых сессий c 80 порта (см. файл). Думаю что на этих ПК завелся вирус, но вопрос в другом, веренее есть несколько вопросов: 1. Почему адреса источника открывшего сессию стоит внешний адрес? все ПК ходят в Интернет через NAT и напрямую на них никакие порты не проброшены. 2. Даже если выключить ПК, сессии продолжают висеть, до истечения таймра = 24часа. Разве микротик не должен отследить что в сессии больше нет пакетов от одной из сторон и закрыть её? 3. Как можно запретить такие паразитные соединения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 декабря, 2013 · Жалоба Нужно смотреть не в этом окне. Зайдите на интерфейс, к которому абоненты подключены, нажмите кнопку Torch и поставив все галочки на старт. Там можно отсортировать по скорости, номеру порта и так далее, там будет более полная информация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ed1976 Опубликовано 20 декабря, 2013 · Жалоба В Torch можно наблюдать активные потоки данных и их скорость. Если сессия открыта но в ней нет трафика, или передаются еденичные пакет то в torch мы таких сессий не увидим. В моем случае в connection открыто 900 сесий, а в torch трафика по этим сессиям не видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...