1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Беда в файрволе-прокси

Тема в разделе "Софт", создана пользователем Devillio, 01.03.07.

  1. Devillio

    Devillio Активный участник

    1.192
    0
    Сегодня в статистике прокси появился УЖОС
    у нас всего 15 машин - ip с Х.Х.Х.10 по Х.Х.Х.25
    а в статистике - якобы по правилу NAT (выход с локального контура в Инет) - с машин Х.Х.Х.1 по Х.Х.Х.254 - выход в одну страницу постоянно. Причем с такой плотностью, что у пользователей инет отпал!
    Вот часть лога:
    [01/Mar/2007 15:45:12] DROP unknown ICMP packet from Внутренний контур, proto:ICMP, len:478, ip:192.168.0.19 -> 67.15.226.37, type:31 code:2
    [01/Mar/2007 15:45:26] DROP unknown ICMP packet from Внутренний контур, proto:ICMP, len:478, ip:192.168.0.20 -> 67.15.226.37, type:5 code:2 (redirect=179.0.1.0 orig: 224.114.225.38 -> 60.29.196.42)
    [01/Mar/2007 15:45:56] DROP unknown ICMP packet from Внутренний контур, proto:ICMP, len:478, ip:192.168.0.238 -> 67.15.226.37, type:3 code:6 (orig: 106.28.60.137 -> 194.166.245.110)
    [01/Mar/2007 15:46:03] DROP unknown ICMP packet from Внутренний контур, proto:ICMP, len:478, ip:192.168.0.170 -> 67.15.226.37, type:3 code:12 (orig: 54.49.126.28 -> 11.75.220.189)
    [01/Mar/2007 15:46:06] DROP unknown ICMP packet from Внутренний контур, proto:ICMP, len:478, ip:192.168.0.249 -> 67.15.226.37, type:31 code:9

    не подскажете че за фигня?
    на сервере - Win2003, Kerio WinRoute + mcAfee, Nod32.
     
  2. граф Глюкалоff

    граф Глюкалоff Активный участник

    4.134
    0
    Сниффер, наверное, у вас завёлся... :)
     
  3. Devillio

    Devillio Активный участник

    1.192
    0
    Как отловить?

    добавлено через 9 минут
    и что такое ICMP пакет?

    :shuffle: я всегда думал, что так называется протокол, по которому ping можна делать... не прав, да?
     
  4. Caps

    Caps Активный участник

    4.342
    18
    не только ping.

    ищите трояна внутри сетки
     
    Последнее редактирование: 01.03.07
  5. Zuka58

    Zuka58 Активный участник

    2.299
    7
    На трояна очень похоже.
    Антивирусы как, молчат?
     
  6. Devillio

    Devillio Активный участник

    1.192
    0
    Антивирусы молчат! :(

    периодически такая хреновина вылазит - приходится запрещать ip, на который коннект идет. благо легко заметить - прокси ограничивает одновременное количество подключений и инет сразу падает...

    блин, как отловить...
     
  7. artemii

    artemii Активный участник

    2.627
    0


    поставь анализатор сетевого трафика ethereal или givemetoo. В windows 2003 server есть network monitor (ставиться дополнительно) но он умеет только интерфейс слушать самого сервера - хотя тебе это и нужно.

    ICMP - Internet Control Message Protocol. Там не только ping.
     
  8. Caps

    Caps Активный участник

    4.342
    18
    netstat -o, посмотреть PID процесса, прибить процесс.
     
  9. bikeRR

    bikeRR Участник

    206
    0
    я бы даже сказал netstat -anb для винды ;)
     
  10. Caps

    Caps Активный участник

    4.342
    18
    Кстати, я не стал рекомендовать печатать имя процесса - что бы не отвлекало. Лучше уж только по TIDу. Но это чисто субъективно.
     
  11. Devillio

    Devillio Активный участник

    1.192
    0
    :) блин, уже неделю жду этого глюка - не появляется! спугался, гат!