Перейти до

Падение скорости инета изза вирусов


Рекомендованные сообщения

Короче говоря, сидит вирус на компе, юзверь комп включает, зараза начинает валить на сервер, вся ирония в том, что скорость инета у всех юзверей поголовно, падает до 2-4 кб/с. Сервер управляется фрюхой, ей всё побоку. ПИНГи как на сервер так и на ДНС не изменяются. На сервере поставлена биллинговая система Nodeny. Вырубая сегментарно сеть (700+ компов) естесвенно определяется заразный комп, но это когда он один, вечером когда куча народу, вычислить практически нереально, так как после выключения заразного компа должна пройти примерно минута, чтоб скорость восстановилась (если с другой стороны вирус не валит) и можно было с увереностью сказать что заражённый комп найден. Народ включается и выключается и "несколько" проблематично выявить заразный комп.

 

Что посоветуете?

Ссылка на сообщение
Поделиться на других сайтах

рядом была темка с АРП. Очень похожая ситуация.

Попробуйте поставить утилитку ARPWATCH. Если она есть для фри. Она пишет все в сислог.

Потом

cat /var/log/messages | grep arpwatch > 111

cat ./111 | grep change

и вам покажет сколько ИПов пыталось сменить МАК.

В первой колонке маков(там их 2) покажет одинаковый адрес на многих айпи. Это и есть мак атакующего компа. У себя что-то реализовать толковое не смогли - единственный выход - занести этот мак в статическую базу на "умном" свитче и забанить. Потом топаем к абоненту и разбираемся.

Если конечно у вас то же что и мы схватили.

Гуглим на тему arpspoof.

Ссылка на сообщение
Поделиться на других сайтах
Настроить нормально шейпер, урубать аплоад.

 

Не выход. Вирусняк флудит так что пинги вечерами тупо вылетают пачками.

 

 

З.Ы. Подскажите какой антивирус это убивает? Перепробовал уже все что мог.

Ссылка на сообщение
Поделиться на других сайтах

Реальный пример. Сетка 70 пользаков все за NATом, сервак на линукс, порезка скорости была только входящей (в силу того что НАТ).

Недавно один из пользаков отхватил вирь и збивал весь исходящий канал. Первое - нашел пользака поочередным включением клиентов, следил за трафиком через iptraf. Найдя жертву, просмотрел tcpdump-ом, были сплошные запросы на 2 ip адреса. Залочил их в iptables, помогло на пару дней. Клиент лечиться в упор не хотел, а страдали все. Потом стало валить на другие адреса. Решение было одно - настроил IFB, порезал исход, всем стало хорошо, а клиент все же заплатил за лечение компьютера от вирусов, так как сам не смог справиться.

 

У топикстартера похоже клиенты вообще не режутся, поэтому такая жопа.

Ссылка на сообщение
Поделиться на других сайтах

Одна из причин по которой я в свое время заставил пользователей ставить роутеры.

Некоторые вирусы и чревяки производят интересные попытки ддос.

И перешел на управляемой железо :)

Ссылка на сообщение
Поделиться на других сайтах
Резал что?

Аплоад, аплоад... И уубрать нафиг разрешающее правило для прохождения пингов без авторизации. И вообще только порт авторизации оставить.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Смотря какая скорость у пользователя. Я в среднем принял для себя такой стандарт, резать вдвое от входящей. Например если прием данных 512 кб, то отдача 256 кб.

Ссылка на сообщение
Поделиться на других сайтах
Смотря какая скорость у пользователя. Я в среднем принял для себя такой стандарт, резать вдвое от входящей. Например если прием данных 512 кб, то отдача 256 кб.

 

вариант для солидных домосеток -

авторизация 802.1 х и

настроить алерты и вотчи так, чтобы тупо на свиче порт шатдаунило в случае шухера - никак??

 

так сделано на домосетке VEPRа. как какойнить флудить начинает ( причины путсь сам смотрит у себя) - он аффтаматом отключается ОТ СЕТИ. и никому не мешает.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...