Падение скорости инета изза вирусов

[adeptM 0]

Короче говоря, сидит вирус на компе, юзверь комп включает, зараза начинает валить на сервер, вся ирония в том, что скорость инета у всех юзверей поголовно, падает до 2-4 кб/с. Сервер управляется фрюхой, ей всё побоку. ПИНГи как на сервер так и на ДНС не изменяются. На сервере поставлена биллинговая система Nodeny. Вырубая сегментарно сеть (700+ компов) естесвенно определяется заразный комп, но это когда он один, вечером когда куча народу, вычислить практически нереально, так как после выключения заразного компа должна пройти примерно минута, чтоб скорость восстановилась (если с другой стороны вирус не валит) и можно было с увереностью сказать что заражённый комп найден. Народ включается и выключается и "несколько" проблематично выявить заразный комп.

 

Что посоветуете?

[Den_LocalNet 1,474]

выключить все и включать постпенно

изучать tcpdump, trafshow

[DarkSpider 36]

рядом была темка с АРП. Очень похожая ситуация.

Попробуйте поставить утилитку ARPWATCH. Если она есть для фри. Она пишет все в сислог.

Потом

cat /var/log/messages | grep arpwatch > 111

cat ./111 | grep change

и вам покажет сколько ИПов пыталось сменить МАК.

В первой колонке маков(там их 2) покажет одинаковый адрес на многих айпи. Это и есть мак атакующего компа. У себя что-то реализовать толковое не смогли - единственный выход - занести этот мак в статическую базу на "умном" свитче и забанить. Потом топаем к абоненту и разбираемся.

Если конечно у вас то же что и мы схватили.

Гуглим на тему arpspoof.

[Колян 2]

Настроить нормально шейпер, урубать аплоад.

[Maxxx 446]

Настроить нормально шейпер, урубать аплоад.

 

Не выход. Вирусняк флудит так что пинги вечерами тупо вылетают пачками.

 

 

З.Ы. Подскажите какой антивирус это убивает? Перепробовал уже все что мог.

[Колян 2]

бло... Я резал. Настрой шейпер правильно.

[Maxxx 446]

Резал что?

[zulu_Radist 856]

Реальный пример. Сетка 70 пользаков все за NATом, сервак на линукс, порезка скорости была только входящей (в силу того что НАТ).

Недавно один из пользаков отхватил вирь и збивал весь исходящий канал. Первое - нашел пользака поочередным включением клиентов, следил за трафиком через iptraf. Найдя жертву, просмотрел tcpdump-ом, были сплошные запросы на 2 ip адреса. Залочил их в iptables, помогло на пару дней. Клиент лечиться в упор не хотел, а страдали все. Потом стало валить на другие адреса. Решение было одно - настроил IFB, порезал исход, всем стало хорошо, а клиент все же заплатил за лечение компьютера от вирусов, так как сам не смог справиться.

 

У топикстартера похоже клиенты вообще не режутся, поэтому такая жопа.

[karimovru 1]

Одна из причин по которой я в свое время заставил пользователей ставить роутеры.

Некоторые вирусы и чревяки производят интересные попытки ддос.

И перешел на управляемой железо

[Колян 2]

Резал что?

Аплоад, аплоад... И уубрать нафиг разрешающее правило для прохождения пингов без авторизации. И вообще только порт авторизации оставить.

[Maxxx 446]

Аплоад режется.

[delfin 3]

до скольки можно резать аплоад. чтобы пользователя не ущемить? игры и т.п.

[Danil 1]

Смотря какая скорость у пользователя. Я в среднем принял для себя такой стандарт, резать вдвое от входящей. Например если прием данных 512 кб, то отдача 256 кб.

[Zohan 1]

Смотря какая скорость у пользователя. Я в среднем принял для себя такой стандарт, резать вдвое от входящей. Например если прием данных 512 кб, то отдача 256 кб.

 

вариант для солидных домосеток -

авторизация 802.1 х и

настроить алерты и вотчи так, чтобы тупо на свиче порт шатдаунило в случае шухера - никак??

 

так сделано на домосетке VEPRа. как какойнить флудить начинает ( причины путсь сам смотрит у себя) - он аффтаматом отключается ОТ СЕТИ. и никому не мешает.