SinkerДальше веселее. Около четырех часов вечера пропадает инет в офисе. За 5 минут находится причина - бухгалтерский компьютер, отсылающий все на тот же адрес (посмотрено на маршрутизаторе) по 11000 пакетов в секунду (причем tcpview от sysinternals ничего подозрительного не показывал).
И не покажет. Он же TCP view. А флуд этот - либо UDP, либо icmp.

Sinker
Запуск NOD32 из-под WinPE показал наличие на машине вирусов TrojanDownloader.Small.CYN, SPY.Goldun.GU, SPY.Goldun.HP, TrojanDownloader.Agent.AEF и Rootkit.Agent.AT. После лечения работа сети нормализовалась, однако ни один из этих вирусов по описанию не подходит под ситуацию.

Это один из Goldun'ов, похоже, HP. Eго явно недооценили.

Мы тоже такое пережили.
Сеть большая, клиентские подключения по FastEthernet, так что веселились от души с неделю, пока всех не перестреляли (порядка 50 хостов). Пришлось вводить автоотключение по статистике NetFlow.

А tmeter не врет. Кто-то тут советовал его выкинуть и забыть... Видимо, столкнувшись с такой проблемой, он, скорее всего, выключил бы телефон и забыл про это безобразие, потому что такого не может быть 8-]

2All. Поскольку и icmp, и udp не ориентированы на соединение, источник может породить любой поток, на какой сил хватит. В этом случае канал до получателя будет забит трафиком, определяемым самым узким местом на этом пути. В случае автора треда до DSL-модема долетает сотка; разумеется, она вся в DSL не пролезет, но сам DSL-линк будет на полке, и дальше полетит столько, сколько этот линк пропустит.

Да, и к затронутому здесь вопросу о файрволах, хр и голых задницах в Интернете.

Во-первых, файрвол - не панацея; в данном случае пофиг, есть он, или нет его.
Во-вторых, ОС тоже не показатель. Из трех наших крупных контор-клиентов, зараженных этой дрянью, сеть одной была за вполне себе настроенным ISA 2k3, второй - за шлюзом под FreeBSD, третьей - за аппаратным роутером. Как на подбор.

Резюме. Главное - не ОС, не файрвол. Главное - радиус кривизны рук.

eNose
по дефолту (визардом) они делают permit any :)

Не помню, как насчет визардов, а вот сам ISA server, установленный по дефолту, разрешает очень немного. Да вот только, если не ошибаюсь, исходящий icmp echo (как и входящий echo replay) как раз по дефолту не блокируется (впрочем, утверждать не берусь). Да и не видел я пока шлюзов, в которых при возможности пускать пинги наружу (а обсуждаемый здесь флуд - в том числе и пингом летел) они не были бы разрешены.
aleks2
Хучь я и не сторонник тезиса: Firewall - панацея.
Но в данном конкретном случае - это действительно панацея, ибо правильно настроенный Firewall (ISA, в частности) способен не пропускать UDP/ICMP трафик наружу или, по крайней мере, фиксировать источник в журнале...

О, ключевая фраза - "правильно настроенный". Imho, не противоречит тому, что я сказал о кривизне рук, не так ли :-)? Да вот только всего не предусмотришь. Тот же ХРшный файрвол вряд ли кто-то из владельцев заставляет блокировать исходящие icmp echo, ибо риск нарваться на флуд меньше, чем на криво работающий из-за этого софт.

А логи на той ИСЕ были. По логам зараженный хост внутри и нашли.

aleks2
Равно и об ОСях - не работай (и не дозволяй работать, если ты сисадмин) под локальным администратором - и будет тебе щастье.
Само-собой к Win9x сие не применимо. Анализируй это...

Насчет локального админа - ну, знаю я пару случаев, когда это не спасало от заражения спам-трояном (w2k prof). Так что счастья нет (с).
А по поводу w9x - ну что мне анализировать-то :-)? Что там права не ограничить толком? Я и так знаю. Однако знаю и тех, кто по нескольку лет спокойно живет в Сети на w98 без файрволов и антивирусов. Видимо, они что-то делают не так. Или чего-то не заметили.

Так что прямые руки актуальны всегда.

aleks2
Еще помогает свечку поставить св. Билли (Гейтсу).

Разве что в ...

aleks2
ну чего ты сопли жуешь? Прямые... кривые...


Надо же это кому-то делать для тех, кто любит ляпнуть совет, не подумав. Лишь бы ляпнуть.

Ладно, завязываем, пока на грубость не скатились, ok? Тема себя исчерпала, imho.