форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"траффик out больше in"
Сообщение от NZ on 18-Апр-05, 17:50  (MSK)
извиняюсь за частичный оффтопик за линуксом, отедялющим локаль от Инета с адресом 192.168.1.2 на котором рабоает программа учета траффика netams, стоит сервер на базе винды 2003 с адресом 192.168.1.3, для этого сервера показания out в netams в 4-5 раз превосходят in практически за любой период времени - для других компьютреов сети показания нормальные- входящий больше исходящего в несколько раз, когда просматриваю открытые порты на сервере 192.168.1.3 то вижу: Хост:192.168.1.3: порт :53 (domain)  открыт Хост:192.168.1.3: порт :88 (kerberos)  открыт Хост:192.168.1.3: порт :135 (epmap)  открыт Хост:192.168.1.3: порт :389 (ldap)  открыт Хост:192.168.1.3: порт :445 (microsoft-ds)  открыт Хост:192.168.1.3: порт :464 (kpasswd)  открыт Хост:192.168.1.3: порт :593 (Unknown)  открыт Хост:192.168.1.3: порт :636 (ldaps)  открыт Хост:192.168.1.3: порт :1025 (Unknown)  открыт Хост:192.168.1.3: порт :1026 (Unknown)  открыт Хост:192.168.1.3: порт :1028 (Unknown)  открыт Хост:192.168.1.3: порт :1045 (Unknown)  открыт Хост:192.168.1.3: порт :1050 (Unknown)  открыт Хост:192.168.1.3: порт :1156 (Unknown)  открыт Хост:192.168.1.3: порт :1433 (ms-sql-s)  открыт Хост:192.168.1.3: порт :3268 (Unknown)  открыт Хост:192.168.1.3: порт :3389 (Unknown)  открыт Хост:192.168.1.3: порт :4856 (Unknown)  открыт с сервера практически в Инет не выходим. отчего может идти большой траффик out?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "траффик out больше in"
Сообщение от open on 18-Апр-05, 17:58  (MSK)
а tcpdump'ом на шлюзе глянуть на трафик с вашего "сервера" никак ? и все сразу станет понятно... >извиняюсь за частичный оффтопик >за линуксом, отедялющим локаль от Инета с адресом 192.168.1.2 на котором рабоает >программа учета траффика netams, стоит сервер на базе винды 2003 с >адресом 192.168.1.3, для этого сервера показания out в netams в 4-5 >раз превосходят in практически за любой период времени - для других >компьютреов сети показания нормальные- входящий больше исходящего в несколько раз, когда >просматриваю открытые порты на сервере 192.168.1.3 то вижу: >Хост:192.168.1.3: порт :53 (domain)  открыт >Хост:192.168.1.3: порт :88 (kerberos)  открыт >Хост:192.168.1.3: порт :135 (epmap)  открыт >Хост:192.168.1.3: порт :389 (ldap)  открыт >Хост:192.168.1.3: порт :445 (microsoft-ds)  открыт >Хост:192.168.1.3: порт :464 (kpasswd)  открыт >Хост:192.168.1.3: порт :593 (Unknown)  открыт >Хост:192.168.1.3: порт :636 (ldaps)  открыт >Хост:192.168.1.3: порт :1025 (Unknown)  открыт >Хост:192.168.1.3: порт :1026 (Unknown)  открыт >Хост:192.168.1.3: порт :1028 (Unknown)  открыт >Хост:192.168.1.3: порт :1045 (Unknown)  открыт >Хост:192.168.1.3: порт :1050 (Unknown)  открыт >Хост:192.168.1.3: порт :1156 (Unknown)  открыт >Хост:192.168.1.3: порт :1433 (ms-sql-s)  открыт >Хост:192.168.1.3: порт :3268 (Unknown)  открыт >Хост:192.168.1.3: порт :3389 (Unknown)  открыт >Хост:192.168.1.3: порт :4856 (Unknown)  открыт >с сервера практически в Инет не выходим. >отчего может идти большой траффик out?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "траффик out больше in"
Сообщение от _KAV_ (ok) on 18-Апр-05, 18:55  (MSK)
>с сервера практически в Инет не выходим. >отчего может идти большой траффик out? Вирусок-с??? чаще всего
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "траффик out больше in"
	Сообщение от NZ on 19-Апр-05, 08:59  (MSK)
	вирусы - вряд ли, symantec регулярно обновляется. запустил tcpdump -i eth1 host 192.168.1.3 (eth1 -внутренний интерфейс), в результате в основном идут запросы вида: > a.root-servers.net.domain: PTR? 162.4.168.199.in-addr.arpa - это связано с обновлением файлов днс, и от этого может out быть больше in?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "траффик out больше in"
	Сообщение от NZ on 19-Апр-05, 14:07  (MSK)
	>вирусы - вряд ли, symantec регулярно обновляется. > >запустил tcpdump -i eth1 host 192.168.1.3 (eth1 -внутренний интерфейс), >в результате в основном идут запросы вида: >> a.root-servers.net.domain: PTR? 162.4.168.199.in-addr.arpa >- это связано с обновлением файлов днс, и от этого может out >быть больше in? никто ничего не подскажет?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "траффик out больше in"
	Сообщение от Mranton (??) on 19-Апр-05, 17:54  (MSK)
	>вирусы - вряд ли, symantec регулярно обновляется. если он у вас "народный", то его работу надо ставить под сомнение. есть мнение, что  нелегальный симантик занимается фигней - жрет ресурсы, а вирусы не ловит :)   есть три случая(лично в моей практике), когда симантек "искал", "находил" и даже "удалял" вирусы, но пре перезагрузке они появлялись вновь. про кривой кейген, релиз,сэйфмод и про отключение автовосстановление комментарии не принимаются :)   т.к. запущенный затем clamav(win32)   все вирусы благополучно удалил.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "траффик out больше in"
	Сообщение от NZ on 19-Апр-05, 18:16  (MSK)
	>>вирусы - вряд ли, symantec регулярно обновляется. > >если он у вас "народный", то его работу надо ставить под сомнение. >есть мнение, что  нелегальный симантик занимается фигней - жрет ресурсы, >а вирусы не ловит :) > >есть три случая(лично в моей практике), когда симантек "искал", "находил" и даже >"удалял" вирусы, но пре перезагрузке они появлялись вновь. про кривой кейген, >релиз,сэйфмод и про отключение автовосстановление комментарии не принимаются :)   >т.к. запущенный затем clamav(win32)   все вирусы благополучно удалил. скажем так - он был лицензионный до февраля 2005 года, а сейчас вроде обновляется нормально и я даже не пойму - что изменилось после того как закончилась лицензия, скажем у меня drweb под линукс так он сразу перстал обновляться как лицензия закончилась день в день и мы сразу купили новую, а этот никак себя не проявил а похоже на траффик который генерит вирус?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "траффик out больше in"
	Сообщение от Mranton (??) on 20-Апр-05, 11:09  (MSK)
	а о каких абсолютных величинах идет речь, сколько входит и выходит трафика? "вирусных" портов вроде не открыто.  есть такое предположение :)  :  винсервер и линух-сервер воткнуты в один хаб(важно) + 1)управление винсервером происходит через RDP(port 3389)   или 2) пользователи юзают базу SQL отсюда, все пакеты попадают на считалку трафика и исходящий трафик больше входящего
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "траффик out больше in"
	Сообщение от NZ on 20-Апр-05, 13:16  (MSK)
	>а о каких абсолютных величинах идет речь, сколько входит и выходит трафика? > > >"вирусных" портов вроде не открыто.  есть такое предположение :)  : > винсервер и линух-сервер воткнуты в один хаб(важно) + >1)управление винсервером происходит через RDP(port 3389) >или >2) пользователи юзают базу SQL >отсюда, все пакеты попадают на считалку трафика и исходящий трафик больше входящего > netams считает по правлиу: policy acct oid 031949 name all-ip target ip   траффик: 16 мая: in -0Мб, out - 4,83Мб 17 мая: in -0Мб, out - 4,83Мб 18 мая: in -96Кб, out - 6,8 Мб месяц - in -67Мб, out - 140 Мб
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.