Что-то происходило в сети моей компании каждый день в 9:30. Я не системный администратор, но он не специалист по ServerFault, поэтому я не знаком со всеми аспектами сети, но могу задать вопросы, если потребуется дальнейшее развитие.
Симптомы следующие:
У нас есть следующие общедоступные порты для веб-сервера, несколько других портов для связи с нашими клиентами для технической поддержки и VPN. У нас есть Cisco ASA, блокирующая все остальное. У нас небольшая сеть (менее 50 компьютеров / виртуальных машин в любое время). Сервер Active Directory и несколько серверов виртуальных машин. У нас также есть собственный почтовый сервер.
Я думаю, что проблема внутренняя, но как лучше понять, откуда она взялась?
Скачать Wireshark (http://www.wireshark.org/) и используйте его для отслеживания трафика в сети в то время. Ищите новый трафик и любые большие всплески объема трафика.
Хотя этот инструмент предоставляет много информации для людей, которые не знакомы с сетями, его все же можно использовать для просмотра объема информации довольно легко, и некоторые описания протоколов могут указать вам или вашему администратору в правильном направлении.
Также вы должны указать своему администратору на этот сайт. Он, вероятно, высоко оценит ресурс.
Если у вас или у системного администратора есть доступ к маршрутизатору / брандмауэру, это должно предоставить некоторую дополнительную информацию. Wireshark, как уже упоминалось, тоже очень хорош (как отмечает TrueDuality). Время показывает, что пользователь подключается и имеет какое-то вредоносное ПО или торрент-клиент, который насыщает сеть. Вы также можете проверить, работает ли кто-то Skype, а клиент является суперузлом. Видели большие объемы трафика от одного клиента Skype. Клиент должен быть отключен, чтобы гарантировать отсутствие трафика.
Если это небольшой офис, должно быть легко определить, кто вошел в систему в рассматриваемое время. Добавлена регистрация, которая отслеживает успешные входы в систему на DC.