Перейти до

Help! не извесный вирус ложит сеть


Рекомендованные сообщения

Кто с таким сталкивался помогите сеть лежит полностью. Ситуация от клиента идет передача трафика на 22 порт на адрес 92.240.237.85. трафик достигает 10 мегабит. сначала ложит канал исходящий, закрываю фаерволом на микротике этот адрес и порт через пару минут микротик перестает давать интернет по ip windox не отвечает по МАС заходит, при попытке пропинговать любой хост в сети пишет (105) No buffer space available. перегружаю МТ на пару минут хватает потом опять та же картина. отключаю юзера физически от сети все работает, но это не виход уже таких больше половины в сети, и антивирусы не находят вобще ничего .

Ссылка на сообщение
Поделиться на других сайтах

post-6450-1258909995,551_thumb.jpgpost-6450-1258909995,551_thumb.jpg

 

 

А фаерволом у пользователя можно попробывать закрыть это соединение, например у меня была похожая проблема NOD 32 v 4 встроенный фаервол решил проблему на Виндовс ХП. Фаервол контролирует соединения запрещает, разрешает.

Ссылка на сообщение
Поделиться на других сайтах

Ну и как Вы себе представляете у каждого юзера фаерволл тыкать?

Он же говорит, у него в сети таких уже более половины.

Кто-то начал писать вирусы, которые валят сеть. Хреново. :)

 

Недавно поднималась похожая тема тут. Там шла речь о похожей проблеме и предлагалось решение в виде маски сети 255.255.255.255, поищите по форуму.

 

Так же интересно что это вообще за зверь, чем обнаружить его и самое главное - КОМУ РУКИ ОТОРВАТЬ! :)

Ссылка на сообщение
Поделиться на других сайтах

Может, но всё равно надо искать выход.

Кстати, я сначала не сообразил к чему фаерволл: ведь им можно выявить процесс, который этим занимается и соответственно программку. Потом - откель и когда она попала на машину и т.д.

Было бы интересно услышать тех, кто такое проделал и нашёл зверя.

Ссылка на сообщение
Поделиться на других сайтах

Ну и как Вы себе представляете у каждого юзера фаерволл тыкать?

Он же говорит, у него в сети таких уже более половины.

Кто-то начал писать вирусы, которые валят сеть. Хреново. :)

 

Недавно поднималась похожая тема тут. Там шла речь о похожей проблеме и предлагалось решение в виде маски сети 255.255.255.255, поищите по форуму.

 

Так же интересно что это вообще за зверь, чем обнаружить его и самое главное - КОМУ РУКИ ОТОРВАТЬ! :blink:

 

Представляю себе это фаервол: Что он контролирует все соединения исходящие и входящие в ПК. Конечно это накладно делать каждому пользователю, но проблему во всяком случае поможет решить. На рисунке показано что информация мусорная идет с одного из компьютеров в сети. Так вот попробывать у этого пользователя поставить фаервол от НОД 32 v. 4 выставить режим ручной, и настроить руками что пропускать, а что запрещать. Например - это у пользователя вирус, в виде мини программы, Фаервол ее сто процентов определит, нажмешь запрет этого трафика, и проблема отпадет. У меня есть крянутая версия протестировал работает отлично, обновления на этот антивирус подходят с третей версии нода. Будет не тяжело скачать с интернета, если что перешлю на эмайл установочные файлы.

Ссылка на сообщение
Поделиться на других сайтах

Установка фаервола у каждого юзера это канечно вариант но сами понимаете не каждый поставит. Самое интересное что вот эта зараза вызывает (105) No buffer space available ошибку на микротике.

Ссылка на сообщение
Поделиться на других сайтах

Кто с таким сталкивался помогите сеть лежит полностью. Ситуация от клиента идет передача трафика на 22 порт на адрес 92.240.237.85. трафик достигает 10 мегабит. сначала ложит канал исходящий, закрываю фаерволом на микротике этот адрес и порт через пару минут микротик перестает давать интернет по ip windox не отвечает по МАС заходит, при попытке пропинговать любой хост в сети пишет (105) No buffer space available. перегружаю МТ на пару минут хватает потом опять та же картина. отключаю юзера физически от сети все работает, но это не виход уже таких больше половины в сети, и антивирусы не находят вобще ничего .

 

Это класический дос, к сетке имеет отношение поскоку-постоку.

Перевести DHCP на время жизни 1 час,

и по DHCP раздать маршрут 92.240.237.85 на 127.0.0.1

На будущее написать скрипт регистрирующий подобную атаку,

и добавляющий соответствующим ИП в конфиг DHCP с маршрутом на 127.0.0.1, автоматически.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...