Назад | Перейти на главную страницу

что могло вызвать огромную пропускную способность межсетевого экрана?

Два дня назад у меня начались проблемы с интернетом. Мой рабочий стол и другой компьютер (веб-сервер) подключены к Интернету через маршрутизатор. В мониторе munin на сервере я не нашел ничего интересного, кроме высокой пропускной способности межсетевого экрана. Как видно на скриншоте, даже ночью он очень высокий.

Могло бы это вызвать? Я подумал, что это может быть какой-то злоумышленник, но я никого не обнаружил в netstat.

Максимальная нагрузка на сервер около 60-75%.

У вашего роутера есть возможность показывать подключенные IP-адреса? Кто-нибудь из тех, кто проявляет много странной активности?

TCPdump может показать, что происходит через соединение. Вы можете направлять трафик со своего маршрутизатора на виртуальную машину и пересылать его оттуда, чтобы вы могли прослушивать перехваченный трафик и видеть, что происходит через соединение.

Что-нибудь необычное в логах на любых машинах?

А как насчет статистики сетевого интерфейса на ваших машинах? Сбросьте статистику и посмотрите, что там происходит.

Если ваши машины на какое-то время отключены от сети, ваш маршрутизатор по-прежнему демонстрирует высокий уровень активности?

Ваш маршрутизатор показывает подключенные к нему рабочие станции, или вы можете вынюхивать MAC-адреса и / или ложные IP-адреса в своей сети, если у вас есть беспроводная связь?

Вы запускали сканирование на наличие вирусов / вредоносных программ на всех своих машинах, имея в виду, что они могут только сказать вам, заражены ли вы, а не то, что вы не заражены (другими словами, это не на 100% надежно, поскольку вредоносные программы могут маскироваться, если они умны )?

На мой взгляд, лучше всего попробовать подключить другую машину в сети, которая будет прослушивать сетевой трафик и искать аномалии. Если я правильно читаю вашу статистику по трафику, вы получаете огромное количество входящего трафика, а не исходящего, поэтому либо кто-то загружает много вещей, либо вы подвергаетесь какой-то проверке или атаке. Если вы не можете сузить круг вопросов в своей сети, обратитесь к своему интернет-провайдеру и посмотрите, могут ли они увидеть, что входит в ваше соединение со своей стороны; они должны быть в состоянии определить немного лучше, если вы подвергаетесь атаке отказа в обслуживании. Проверьте свой маршрутизатор, проверьте анализаторы пакетов, проверьте, используя чистую виртуальную машину, и перенаправьте весь трафик с отравлением ARP, чтобы узнать, можете ли вы определить, откуда исходит активность.

Если у вас есть беспроводная связь, попробуйте отключить ее, чтобы определить, есть ли в вашей сети другой человек (если у вас нет маршрутизатора / точки доступа, который уже сообщает вам MAC подключенных рабочих станций).

По крайней мере, ваша статистика мунинов новая. Но в течение нескольких дней мониторинга можно увидеть изменения за последние два дня.

Я предполагаю, что ваш компьютер выключен ночью - единственным активным устройством будет ваш брандмауэр.

Пожалуйста, проверьте брандмауэр на предмет заражения rootkit_hunter: http://www.rootkit.nl/projects/rootkit_hunter.html

Я думаю, у вас новый брандмауэр, и вам следует проверить наличие обновлений.

Пожалуйста, проверьте, какие порты открыты со стороны Интернета: http://www.yougetsignal.com/tools/open-ports/

Попробуйте iptraf для отслеживания активности соединений. Если есть соединение, которое потребляет пропускную способность, вы его увидите.

Кроме того, если это вызвано подключениями к закрытому порту, вы не увидите этого с помощью netstat (только список подключений на открытых сокетах). Попробуйте войти с помощью netfilter и / или tcpdump.

Возможно, что одна из ваших машин заражена, и это ваш машина атакует других.