← Вернуться в раздел «В помощь системному администратору»

» Забивают канал пакетами UDP

Автор: Holder 2002
Дата сообщения: 03.02.2004 01:56

Есть локалка 100Мбит и кто-то или что-то забивает всю сеть UDP пакетами по портам 137, 138, 139...
Невозможно работать - ни локалки, ни интернета...
Есть подозрение что это вирус. Рассылка этих пакетов происходит с разных компов...
Даже с моего. С переодичностью 1 раз в три дня(примерно). Проверял на вирусы, черви и трояны - ничего ненашел! Даже сейчас приходится работать через модем, а на хабе лампочки моргают как гирлянда на елке.

Посоветуйте что делать, что это может быть и как с этим бороться.

Автор: atiso
Дата сообщения: 03.02.2004 02:07

А может быть у вас в локалке стоит какой-нибудь чат, udp-шный?

Автор: Andryuha
Дата сообщения: 03.02.2004 06:28

это пакеты NetBIOS. Кто-то сканирует сеть на доступные ресурсы, скорее всего. Может вирусняк, а может хакер местный

Засеки, от кого идут пакеты.
Если сетка виндовая, поставь WINS сервер (если есть клиенты ниже 2000), на всех машинах отключи MasterBrowser.

Автор: Holder 2002
Дата сообщения: 03.02.2004 08:58

atiso
Чата нет.

Andryuha
Засекаем - отправитель c MAC адресом состоящим из "F", IP всегда разный...
До сих пор канал забит.
Все таки есть предположение что это вирус. Ходили весь день и отключали хаб за хабом, но все равно пакеты сыплятся с разных машин.

Автор: Andryuha
Дата сообщения: 03.02.2004 12:00

отрубите МастерБроузер на всех компах, кроме серверов для начала.

Автор: hell raiser
Дата сообщения: 03.02.2004 15:06

а как он отрубается?

Автор: Spirto
Дата сообщения: 04.02.2004 09:03

помнится по этим портам пытался выбраться знаменитый MsBlast =)

может стоит проверить его присутствие

и еще стоит поставить Фаервол , может кто то из вне бомбит эти порты

Автор: CocKain
Дата сообщения: 19.04.2006 02:18

Похожая ситуация.
Бешеный проходной трафик udp пакетов по 137, 138 портам. Причём, что интересно, исходящего при этом примерно 30 Мбайт за 30 минут, а входящего 3 кбайта за то же время. Самое же интересное, что MAC отправителя вроде бы совпадает с маком головной машины в сети. Мак получателя какой-то бредовый — все F.
Поддержка провайдера говорит: «по этим портам ходит только служебный трафик». Ха-ха-ха! По пятьдесят с лишним метров в час? Не может быть. К тому же, хоть служебный трафик и ходит по этим портам, но с другого ip адреса.
В чём на самом деле может быть проблема и возможно ли определить подлинный источник этой гадости, если да — каким способом?

Добавлено:
Да, причём здесь mac: работа сети на них завязана. Если головной компьютер не знает mac устройства, пытающегося выйти в сеть, он его не пускает. То есть, по идее, внутри пакета должен передаваться только верный mac. C другой стороны, почему бы ему тогда не быть маком самого головного компьютера?
Хотя, наверное, последнее — бред...

Добавлено:
Последнее дополнение.
Про msblast (lovesan по классификации Касперского) слышал что-то похожее, но на том же viruslist написано, что он идёт по 135 порту. Хотя это о первой модификации.

Страницы: 1

Предыдущая тема: Общие вопросы про AD (Active Directory)

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.