UDP flood, HELP

Overclockers.ru

Конференция

FAQ по конференции

Текущее время: 04.09.2025 18:35

Сообщения без ответов | Активные темы

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа

Новая тема /

Ответить

Сообщений: 11

	Пред. тема \| След. тема
В случае проблем с отображением форума, отключите блокировщик рекламы

Автор

Сообщение

razLomaLkin

Добавлено: 20.11.2008 0:29

[профиль]

Member
Статус: Не в сети
Регистрация: 29.12.2005

проблема в следующем:
несколько компьютеров в сети начали флудить UDP на порт 53, рассылают шароковещательные пакеты в сеть компании, забивают DNS провайдера, обращаются на несуществующие сайты путем создания имени из датчика случайных чисел.
исходящий порт 48000, если его каспером перекрыть то он увеличивается на единицу.
подскажите, как определить, что вещает в сеть. такое впечатление что сам эксплорэр посылает запросы, они воспринимаются всеми антивирями как свои.
убивание различных процессов приводит к небольшому затуханию и потом все с новой силой продолжается.
вопрос:
чем и как узнать, кто вещает с этого порта?
есть масса утилит, но не нашел ни одну которая бы показала программу или процесс который с заданного порта вещает в сетку.
помогите плиз!!!!

Реклама
Партнер

Root

Добавлено: 20.11.2008 1:20

[профиль]

Advanced member
Статус: Не в сети
Регистрация: 30.08.2003
Откуда: Санкт-Петербург

razLomaLkin
netstat в помощь - это стандартная утилита

Код:

C:\Documents and Settings\User>netstat -b

Активные подключения

  Имя    Локальный адрес        Внешний адрес          Состояние       PID
  TCP    P2BDS:1026             localhost:1027         ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1027             localhost:1026         ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1028             localhost:1029         ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1029             localhost:1028         ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:netbios-ssn      192.168.55.101:1037    ESTABLISHED     4
  [Система]

  TCP    P2BDS:1201             205.188.9.28:5190      ESTABLISHED     868
  [qip.exe]

  TCP    P2BDS:1768             forums.overclockers.ru:http  ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1774             forums.overclockers.ru:http  ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1782             forums.overclockers.ru:http  ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1783             bs.yandex.ru:http      ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1784             srv133-224.vkontakte.ru:http  ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1786             bs.yandex.ru:http      ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1791             bs.yandex.ru:http      ESTABLISHED     1996
  [firefox.exe]

  TCP    P2BDS:1769             host32.rax.ru:http     TIME_WAIT       0
  TCP    P2BDS:1781             92.241.162.117:http    TIME_WAIT       0
  TCP    P2BDS:1788             host32.rax.ru:http     TIME_WAIT       0
  TCP    P2BDS:1794             host32.rax.ru:http     TIME_WAIT       0
  TCP    P2BDS:1795             tns-counter.ru:http    TIME_WAIT       0
  TCP    P2BDS:1796             host32.rax.ru:http     TIME_WAIT       0

C:\Documents and Settings\User>

_________________
{:€ дед в законе :-) нородный окодемег
почетный пользователь OpenSuSE 11.3
Ремонт и модернизация ноутбуков IBM (Lenovo) ThinkPad

razLomaLkin

Добавлено: 20.11.2008 2:25

[профиль]

Member
Статус: Не в сети
Регистрация: 29.12.2005

Root
а ты уверен, что твоя стандартная утилита показывает UDP пакеты?

я вот чот никак не смог от нее этого добиться. может я чот не знаю, расскажи подробнее....))))

давайте реальный хелп, а не просто чтобы отметиться на форуме....
Добавлено спустя 7 часов, 22 минуты, 31 секунду
есть гуру сети? ау? реально уже нужно найти таблетку от этой заразы.......

satter

Добавлено: 20.11.2008 12:21

[профиль]

Member
Статус: Не в сети
Регистрация: 21.04.2005

razLomaLkin
для начала поставь сниффер и посмотри, рекомендую wireshark, достаточно умный и бесплатный, хотя порой долго думает

razLomaLkin

Добавлено: 20.11.2008 12:44

[профиль]

Member
Статус: Не в сети
Регистрация: 29.12.2005

satter
фсе уже отснифел, куда ж дальше?
дело в том, что тут надо слушать не чужой трафик а свой, причем нужно по порту узнать какое приложение его использует. и еще проблема в том, что это приложение его использует кратковременно.
даже зон аларм не поймал эту гадость. отключать - отключает, при полной блокировке, входящий флуд тоже блокирует, но вот исходящий - поймать не может.
рульная штука Filemon но и ей тоже не удалось что либо прояснить, так как он показывает приложения, которые открывают файлы, а эта гадость к ним может не обращаться.

у нас куплен каспер, там только рот открыли при моем повествовании. вообщем немая сцена. пять шесть компов то можно и перезалить, не вопрос, но что делать если их будет больше 10 штук?

BSD

Добавлено: 20.11.2008 14:33

[профиль]

Member
Статус: Не в сети
Регистрация: 23.05.2005
Откуда: Градъ Петровъ

Ну и чего ты отснифил? Тебе satter правильно сказал поставить какой-нибудь сниффер на компы, которые рассылают всякую фигню и отфильтровать только исходящие запросы.

p.s. Кстати, во вногих программных файерволах есть подобные штуки, там тебе и приложение по идеи должно показать какое используется... например Outpost или Comodo.

_________________
Футбол - это жизнь. А жизнь - это игра....

Aleksoid1978

Добавлено: 20.11.2008 14:51

[профиль]

Member
Статус: Не в сети
Регистрация: 02.03.2005
Откуда: Владивосток

razLomaLkin писал(а):

Вот тебе прога, которая 100% покажет все входящие и исходящие соеденения
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Так же попробуй вот эту прогу:
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
она хорошо помогает обнаруживать всякие трояны, спайваре, которые дописываються в систему например как аддон к ИЕ, но в самои ИЕ которых не видно.

_________________
I7 2600K@4.2/Asrock P67/Kingston HyperX 8Gb 1866/OCZ 256Gb/GIGABYTE GTX 960/BenQ EW2430/LG 47LM620T/Yamaha RX-V471+NS-555+NS-C444+NS-333+YST-SW215

satter

Добавлено: 20.11.2008 15:57

[профиль]

Member
Статус: Не в сети
Регистрация: 21.04.2005

razLomaLkin
как вариант воспользоваться фаерволом с фильтрацией приложений, аутпост 4ой версии точно с этим справится

Root

Добавлено: 20.11.2008 16:21

[профиль]

Advanced member
Статус: Не в сети
Регистрация: 30.08.2003
Откуда: Санкт-Петербург

<удалено>

_________________
{:€ дед в законе :-) нородный окодемег
почетный пользователь OpenSuSE 11.3
Ремонт и модернизация ноутбуков IBM (Lenovo) ThinkPad

Последний раз редактировалось Root 20.11.2008 16:23, всего редактировалось 1 раз.

Root

Добавлено: 20.11.2008 16:22

[профиль]

Advanced member
Статус: Не в сети
Регистрация: 30.08.2003
Откуда: Санкт-Петербург

razLomaLkin писал(а):

а ты уверен, что твоя стандартная утилита показывает UDP пакеты?

не уверен, конечно. Но вот хелп почитать могли бы и сами. В результате готовое решение:

Код:

c:\54534>netstat -a -b

Активные подключения

  Имя    Локальный адрес        Внешний адрес          Состояние       PID
  TCP    andrey1:microsoft-ds   andrey1:0              LISTENING       4
  [Система]

  TCP    andrey1:2869           andrey1:0              LISTENING       1752
  C:\WINDOWS\System32\httpapi.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\RPCRT4.dll
  [svchost.exe]

  TCP    andrey1:netbios-ssn    andrey1:0              LISTENING       4
  [Система]

<вырезал>

  TCP    andrey1:2694           207.46.198.249:http    TIME_WAIT       0
  TCP    andrey1:2697           view.atdmt.com:http    TIME_WAIT       0
  UDP    andrey1:isakmp         *:*                                    992
  [lsass.exe]

  UDP    andrey1:4500           *:*                                    992
  [lsass.exe]

  UDP    andrey1:microsoft-ds   *:*                                    4
  [Система]

  UDP    andrey1:1900           *:*                                    1752
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    andrey1:ntp            *:*                                    1424
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\w32time.dll
  ntdll.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    andrey1:netbios-ns     *:*                                    4
  [Система]

  UDP    andrey1:1900           *:*                                    1752
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\ssdpsrv.dll
  C:\WINDOWS\system32\ADVAPI32.dll
  C:\WINDOWS\system32\kernel32.dll
  [svchost.exe]

  UDP    andrey1:ntp            *:*                                    1424

видно, что UDP отображается?

razLomaLkin

Добавлено: 20.11.2008 18:16

[профиль]

Member
Статус: Не в сети
Регистрация: 29.12.2005

satter
ни оутпост триальный ни зоналарм вскрытый не показали исходящий трафик именно UDP...
подозрение что подмена IP происходит, и на самом деле сам комп не шлет пакеты. хотя на другом меняли айпишник и пакеты сыпались с нового адреса.
буду юзать итилитки что посоветовал Aleksoid1978
BSD снифили сеть и с других компов и с циски смотрели логи.

обязательно отпишусь как мы эту заразу победили. но вообще то конечно жесткач.... гениально придумано...

Root пасиб, попробую и твой способ, хотя не смая удобная утилита...

Новая тема /

Ответить

Сообщений: 11

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти: