Tomsk Sysadmins Forum

Unix => Разное => Topic started by: FANTOME on February 16, 2012, 12:06:58

Title: DoS-атака ????
Post by: FANTOME on February 16, 2012, 12:06:58

(http://s1.hostingkartinok.com/uploads/images/2012/02/5f3c6620f169ba7705f6de00261b7ee5.jpg)
На виндовом шлюзе беспорядочно шлются UDP пакеты с одного IP. На машине вирусов нет(99%). На самой машине смотрю трафик (TCPView) и самое интересное, что нет исходящих UDP пакетов. Перед шлюзом стоит свич. Возможно, что на каком то компе в сети есть вирус который Dosит и подменяет на свиче адрес источника?

Title: Re: DoS-атака ????
Post by: Diver on February 17, 2012, 10:39:02

Больше похоже на торрент-клиент? А найти виновника просто (если компов не много десятков). Используйте метод половинного деления. Отрубите половину компов, если пакеты идут, отрубаете половину оставшейся половины, смотрите пакеты и т.д. пока не найдете виновника. Или попробуйте снифером поподробнее посмотреть пакеты с их заголовками.

Title: Re: DoS-атака ????
Post by: FANTOME on February 26, 2012, 23:13:42

Сначала тоже думал Торрент, но на фаерволе он закрыт и на компе не стоит торрент клиентов. Отключить компы не могу, так как работаю удалённо. Тоже думаю сниффером посмотреть в ближайшее время. Но до сих пор не могу понять что это за трафик. Причем бывает что UDP пакеты шлются с разных внутренних IP(по очереди), хотя компы не вирусовые.

Title: Re: DoS-атака ????
Post by: FANTOME on February 26, 2012, 23:18:03

Если после сниффера обнаружится, что с непроверенного компа на вирусы шлётся трафик и получиться поймать малваря, то выложу его.