форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Большой исходящий трафик! Чтобы это значило???"
Сообщение от Gray on 02-Авг-03, 23:47  (MSK)
С одной из виндовых машин периодически по разным портам прет большой исходящий трафик в разные края света. Может кто знает что это может быть? Машина свиду выглядит так: Interesting ports on  (13.12.14.65): (The 1583 ports scanned but not shown below are in state: closed) Port       State       Service 7/tcp      open        echo 9/tcp      open        discard 13/tcp     open        daytime 17/tcp     open        qotd 19/tcp     open        chargen 25/tcp     open        smtp 53/tcp     open        domain 110/tcp    open        pop-3 135/tcp    open        loc-srv 137/tcp    filtered    netbios-ns 138/tcp    filtered    netbios-dgm 139/tcp    filtered    netbios-ssn 443/tcp    open        https 995/tcp    open        pop3s 1723/tcp   open        pptp 3128/tcp   open        squid-http 3372/tcp   open        msdtc 3389/tcp   open        ms-term-serv Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP Сам трафик поглядеть к сожалению нечем, т.к. вопервых далеко, вовторых комп сидит не через сервак, а на одном из интерфейсов циски. Посему можно наблюдать примерно такую картину: Fa0/0    13.12.14.65     Se0/0:0    202.89.169.62   06 1311 0951  8907 Fa0/0    13.12.14.65     Se0/0:0    63.196.35.173   06 131F 0492    31K Fa0/0    13.12.14.65     Se0/0:0    200.223.48.219  06 12F9 0D80    16K Fa0/0    13.12.14.65     Se0/0:0    193.111.117.128 06 12E2 0EEB  2631 Fa0/0    13.12.14.65     Se0/0:0    194.109.129.220 06 FB56 1A0B    37 Адреса назначения данного трафика все время меняются, чего там только не было уже... но часто это бывают адреса из dsl'ных пулов различных провайдеров. КТО НИБУДЬ ТАКОЕ ВИДЕЛ? ЧТО ЭТО?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Большой исходящий трафик! Чтобы это значило???"
Сообщение от Gray on 02-Авг-03, 23:52  (MSK)
з.ы. Если смотреть по мртг-шному графику то среднесуточный получается в районе 62 Кбайт в секунду, а в пиках доходит и до 180 Кбайт в секунду: Макс. Исх: 181.8 kB/s (75.1%)   Средний Исх: 63.3 kB/s (26.1%)   Текущий Исх: 98.1 kB/s (40.5%)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "проверь на вирусы!"
Сообщение от Camb on 03-Авг-03, 00:42  (MSK)
у меня такое уже было. правда там трафик генерился случано (по времени) да так что весь канал загружался..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Большой исходящий трафик! Чтобы это значило???"
Сообщение от A Clockwork Orange on 03-Авг-03, 18:00  (MSK)
Вирус как?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Большой исходящий трафик! Чтобы это значило???"
	Сообщение от akeeper on 03-Авг-03, 23:25  (MSK)
	>Вирус как? А можно мне глупый вопрос? А нахрена столько сервисов висит на этой машине, при том, что большинство из них скорее всего даже и не нужны. Поотрывай для начала лишние сервисы, а потом смотри по каким портам трафик будет идти. (На самой машине придётся смотреть.) wbr, akeeper.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Большой исходящий трафик! Чтобы это значило???"
Сообщение от alx on 04-Авг-03, 07:52  (MSK)
правительство США отсылает всякие данные о пользователе через инет с помощью ВинМЕ и дяди Билла -))  код то закрытый, кто знает что там за трафик-)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Большой исходящий трафик! Чтобы это значило???"
	Сообщение от Gray on 04-Авг-03, 09:55  (MSK)
	Машиной я не рулю. И как я уже говорил, далеко она - километрах эдак в 300-х от меня стоит. Нахрена там столько сервисов - не знаю. На вирус имхо непохоже, т.к. там обычно все более тривиально - либо скан сплошной по определенным портам и случайным адресам, либо вообще трафиком в локальном сегменте ограничивается. Тут же получается большой поток трафика (десятки тысяч пакетов) в конкретный момент времени на один(как правило) или единицы реальных адресов. В другой момент времени на другой адрес... В сторону мелкософта пока трафика не видел, хотя из того что я наблюдал - было пару раз в штаты, несколько раз в канаду, еще видел в австралию и бразилию... Вот например сейчас: Fa0/0  13.12.14.65  Se0/0:0   12.233.205.102  06 136A 0E6D    51K (Пятдесят одна тысяча пакетов с порта 0x136A на порт 0x0E6D Пункт назначения - штаты. OrgName:    AT&T WorldNet Services OrgID:      ATTW Address:    400 Interpace Parkway City:       Parsippany StateProv:  NJ PostalCode: 07054 Country:    US NetRange:   12.0.0.0 - 12.255.255.255 CIDR:       12.0.0.0/8 NetName:    ATT NetHandle:  NET-12-0-0-0-1 Судя по DNS это смахивает опять таки на какой-то пул - возможно xDSL, возможно еще что-то... 12-233-205-102.client.attbi.com
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Большой исходящий трафик! Чтобы это значило???"
	Сообщение от zxc on 04-Авг-03, 10:15  (MSK)
	Я если просто все порты запретить, кроме нужных Или запретить sin пакеты, чтобы посмотреть кто соединение инициирует, локальный или удаленный
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Большой исходящий трафик! Чтобы это значило???"
	Сообщение от lavr on 04-Авг-03, 10:30  (MSK)
	>Машиной я не рулю. И как я уже говорил, далеко она - >километрах эдак в 300-х от меня стоит. Нахрена там столько сервисов >- не знаю. На вирус имхо непохоже, т.к. там обычно все >более тривиально - либо скан сплошной по определенным портам и случайным >адресам, либо вообще трафиком в локальном сегменте ограничивается. Тут же получается >большой поток трафика (десятки тысяч пакетов) в конкретный момент времени на >один(как правило) или единицы реальных адресов. В другой момент времени на >другой адрес... В сторону мелкософта пока трафика не видел, хотя из >того что я наблюдал - было пару раз в штаты, несколько >раз в канаду, еще видел в австралию и бразилию... >Вот например сейчас: > >Fa0/0  13.12.14.65  Se0/0:0   12.233.205.102  06 136A 0E6D >   51K >(Пятдесят одна тысяча пакетов с порта 0x136A на порт 0x0E6D >Пункт назначения - штаты. >OrgName:    AT&T WorldNet Services >OrgID:      ATTW >Address:    400 Interpace Parkway >City:       Parsippany >StateProv:  NJ >PostalCode: 07054 >Country:    US > >NetRange:   12.0.0.0 - 12.255.255.255 >CIDR:       12.0.0.0/8 >NetName:    ATT >NetHandle:  NET-12-0-0-0-1 > >Судя по DNS это смахивает опять таки на какой-то пул - возможно >xDSL, возможно еще что-то... >12-233-205-102.client.attbi.com worm, backdoor и тд и тп, скорее всего дрянькакую-то подсадили, после чего начали атаковать (или еще что) другие сетки
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Большой исходящий трафик! Чтобы это значило???"
	Сообщение от Gray on 04-Авг-03, 20:07  (MSK)
	Запрещать пока ничего низзя.. >worm, backdoor и тд и тп, скорее всего дрянькакую-то подсадили, после чего >начали атаковать (или еще что) другие сетки Или еще что это что? Насчет атак - интересно конечно, но если помыслить чуток логически: Если это червь или бэкдор - то значит он общается с компом в кротором живет такой же... Тогда что и нафига он передает ему в ТАКОМ количестве? Если на другом компе нет такого-же, тогда он должен искать возможность посадить туда себя. Если он исполльзует дыру в безопасности какого либо сервиса, то он и должен ломать тот самый сервис (здесь же порт выбирается фиг знает как...). И потом - впринципе, чтобы найти уязвимый комп - он должен сканировать инет с офигительным упорством... чего в данный момент не наблюдается. То что отображено в первой мессаге, это ВСЯ информация выводимая по show ip cache flow | i Fa0/0 и исходящая с Fa0/0 на S0/0:0 (т.е. в сторону инета). Т.е. всего пять tcp сессий, одна из которых практически незначительна, а вот все остальные представляют определенный интерес... Если бы был скан, то сессий было бы сотни или тысячи... на 2Мбит/с канале то...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Большой исходящий трафик! Чтобы это значило???"
	Сообщение от lavr on 05-Авг-03, 10:42  (MSK)
	>Запрещать пока ничего низзя.. > > >>worm, backdoor и тд и тп, скорее всего дрянькакую-то подсадили, после чего >>начали атаковать (или еще что) другие сетки > >Или еще что это что? > >Насчет атак - интересно конечно, но если помыслить чуток логически: >Если это червь или бэкдор - то значит он общается с компом >в кротором живет такой же... Тогда что и нафига он передает >ему в ТАКОМ количестве? Если на другом компе нет такого-же, тогда >он должен искать возможность посадить туда себя. Если он исполльзует дыру >в безопасности какого либо сервиса, то он и должен ломать тот >самый сервис (здесь же порт выбирается фиг знает как...). И потом >- впринципе, чтобы найти уязвимый комп - он должен сканировать инет >с офигительным упорством... чего в данный момент не наблюдается. То что >отображено в первой мессаге, это ВСЯ информация выводимая по show ip >cache flow | i Fa0/0 и исходящая с Fa0/0 на S0/0:0 >(т.е. в сторону инета). Т.е. всего пять tcp сессий, одна из >которых практически незначительна, а вот все остальные представляют определенный интерес... Если >бы был скан, то сессий было бы сотни или тысячи... на >2Мбит/с канале то... извини, я несколько лет подряд расхлебывал в институте подобные вещи, сейчас неинтересно да и надоело - подпишись на несколько секурити листов и будешь всегда в курсе, воспользуйся известными средствами, ссылки (хоть и старые) для старта можешь найти: http://unix1.jinr.ru/~lavr/secure-bulleten.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.