URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 34584
[ Назад ]

Исходное сообщение
"масса левых пакетов в сети"
Отправлено LIS , 11-Сен-03 17:27

Здравствуйте, люди!
помогите если кто вдруг сталкивался.
сеть забита левыми пакетами напоминает (DoS атаку на 135 порт)
соотв. все работает кроме того что народ в сетевом окружении ничего не видит ну и не может ни распечатать по сетке, ни на сервак зайти.
вопрос как найти источник? (сетка большая и не сегментированая - машин 100) метод вытыкания концов из свича это долго и медленно

Содержание

масса левых пакетов в сети,A Clockwork Orange, 17:31 , 11-Сен-03
- масса левых пакетов в сети,LIS, 17:40 , 11-Сен-03
  - масса левых пакетов в сети,Mikhail, 18:00 , 11-Сен-03
    - масса левых пакетов в сети,LIS, 18:07 , 11-Сен-03
      - масса левых пакетов в сети,Mikhail, 18:20 , 11-Сен-03
        
        масса левых пакетов в сети,LIS, 18:37 , 11-Сен-03
        
        масса левых пакетов в сети,INM, 21:09 , 12-Сен-03

Сообщения в этом обсуждении

"масса левых пакетов в сети"
Отправлено A Clockwork Orange , 11-Сен-03 17:31

Вирус.
В сети машины windows 2000?
Пакеты с ICMP есть в сети?

"масса левых пакетов в сети"
Отправлено LIS , 11-Сен-03 17:40

>Вирус.
>В сети машины windows 2000?
>Пакеты с ICMP есть в сети?
машины есть, но порты 135,69,4444 закрыты на внешнем интерфейсе, а в сетке живет касперский с сервака.
опять таки ICMP мало
идет просто флуд от левого источника по 135 порту

"масса левых пакетов в сети"
Отправлено Mikhail , 11-Сен-03 18:00

Адрес источника известен? Проверь данную машину на msblast

"масса левых пакетов в сети"
Отправлено LIS , 11-Сен-03 18:07

>Адрес источника известен? Проверь данную машину на msblast
В том то и дело что не известен.
сейчас пытаемся искать, но пока :((
msblast вроде нет нигде
т.е. запустили касперского на всех местах, ничего нет :(

"масса левых пакетов в сети"
Отправлено Mikhail , 11-Сен-03 18:20

Пробегись по свичам, где сильнее мигает - вырубай и смотри дальше; весьма способствует ноутбук со сниффером под мышкой (в смысле, с собой).
Пакеты какие, dport=135/udp? Source addr, dest addr?

"масса левых пакетов в сети"
Отправлено LIS , 11-Сен-03 18:37

>Пробегись по свичам, где сильнее мигает - вырубай и смотри дальше; весьма
>способствует ноутбук со сниффером под мышкой (в смысле, с собой).
>Пакеты какие, dport=135/udp? Source addr, dest addr?
Уффф!
нашли!!!
это 3COM свич так себя вел.
у него в Б.П. кондер вспух и его с этого перло не по детски!
Спасибо!

"масса левых пакетов в сети"
Отправлено INM , 12-Сен-03 21:09

>>Пробегись по свичам, где сильнее мигает - вырубай и смотри дальше; весьма
>>способствует ноутбук со сниффером под мышкой (в смысле, с собой).
>>Пакеты какие, dport=135/udp? Source addr, dest addr?
>
>Уффф!
>нашли!!!
>это 3COM свич так себя вел.
>у него в Б.П. кондер вспух и его с этого перло не
>по детски!
>Спасибо!
msblast.exe почистить не пробовал?
На машинах NT/2K/XP