Змінюй хід війни! Допомагай ЗСУ!
  • Знижка на баннерну рекламу 30%! Банер на всіх сторінках сайту, в мобільній та десктопній версії за 14 тис. грн на місяць. Статистика сайту. Контакт: kharkovforum.com@gmail.com

Большой исходящий трафик.

  • Автор теми Автор теми ANTIpоd
  • Дата створення Дата створення

ANTIpоd

ANTIpоd
Статус: Офлайн
Реєстрація: 10.01.2006
Повідом.: 8631
Большой исходящий трафик.

в последнее время что-то очень сильно увеличился исходящий трафик, составляет 50% от общего. Думал что вирус какой - проверил Касперским, Spyware Doctor, Agnitum Outpost - всё чисто! но трафик идёт и идёт!
смотрю в Outposte что за процесс - написано "n/a", вот он и гонит трафик. Что это может быть? Подключён через Балу. Есть идеи?
 
есть... :) похоже на вирь! :) и пофик, что ты проверил касперским... попробуй еще чем-то... это не spyware... скорее всего почтовый червь... :) ИМХО...
 
эта штука шлёт трафик по протоколу GRE - что это за зверь такой?
 
Троян сканирует доступные хосты. GRE - протокол, с помощью которого можно в том числе сканировать. Хорош тем, что многие файрволы блокируют TCP и ICMP но забывают про GRE.
 
Ну дык гре это может быть например туннель на ваш сервак. Как там в Балу инет роздаётся через пптп?
 
что это за пптп?
дело в том что такого трафика быть не должно. я не веб-сервер, и по 10-20 метров я отправлять никому не должен.
вот в чём прикол... почта? но я не запускаю никогда левых приложений, пришедших в письмах... непонятные письма вообще удаляю...
 
Пптп - тип впн такой не знаю как обстоят дела в Балу - но обычно его юзают в локалках. Трафик инкапсулируется с помощью гре протокола
А вообще - если стоит аутпост в чем проблема посмотреть куда этот н/а ломится?
 
да, через впн
смотрю: ломится на vpn.balu.net.ua
т.е. по сути - наружу.
 
хм... ну если его аутпост видит, то запрети это процессу выход...
И таки один антивир хорошо, а два лучше- проскань еще чем-нибудь кроме Каспера, например НОДом.

А вобще... пипец...
 
так я ж и говорю - нет процесса! :)
Аутпост не может его определить. а правила на неопределённыйе процессы не распространяются.
я поставил правила: блокировать всё. разрешить только браузеру и аське.
браузер и аська закрыты, а эта хрень шлёт сотни кил куда-то наружу. при правиле - блокировать всё.
 
У аутпоста в глобальных правилах есть галочка "разрешать GREпротокол"
выруби ее ***. и напиши свое правило
 
Major сказав(ла):
У аутпоста в глобальных правилах есть галочка "разрешать GREпротокол"
выруби ее ***. и напиши свое правило
Натисніть, щоб розгорнути...

GRE должен работать в ВПН сетях :(
 
у меня было тоже самое. что сделал. нод не помог. и нифиг не помогло. поставил ZoneAlarm,закрыл все кроме Мозилы и аськи. помогло. потом через время зон заглючил. я его стер. пока вроде все ок. ато было так, что комп работает и работает все ок. потом так начинаюлиться данные что аж винт гудит. я выключал, ждал некоторое время потом опять подключал и все становилоь ок. но не всегда.
 
А у меня анлим, так что пусть шлет что хочет и куда хочет :-Р
 
в настройках надо соедениния попробуй отключить все протоколы кроме TCP/IP и QoS. Вроде должно пройти
 
prostosergik сказав(ла):
А у меня анлим, так что пусть шлет что хочет и куда хочет :-Р
Натисніть, щоб розгорнути...

хм... тут вопрос не только в большом исходящем трафике, а в том что твои данные куда-то сливаются... пароли, адреса и т.д...

автор, я думаю для начала надо заткнуть эту ****ь (вирь), а потом, глядишь, после обновления баз Каспера или Нода и отыщется он...

попробуй направить трафик через проксю с аутенфикацией по логину и паролю. Геморойно, но действенно. Авось этот вирь не так умен ;)
 
По-моему товарисч просто не может определиться с тем куда шо у него идёт и никакой вирь тут ни при чём. С чего например вы взяли что vpn.balu.net.ua это наружу? Какой у него ип, какой до него трейс? И где у вас большой исходящий? В логах аутпоста? в виндовых свойствах подключения? на стате у провайдера?
 
В общем, как резюме по средней и не очень глупости постам :-)
1) ГРЕ - это просто инкапсулирующий протокол. " В том числе и сканировать" фраза малость неправильная. Он занимается инкапсулированием других протоколов и имеет смысл только если на принимающем хосте кто-то будет эти протоколы "раскапсулировать", т.е. будет работать вторая часть этого ГРЕ.
2) Без ГРЕ впн работать не будет. Например ушлепки из моего Датасвита или где-то его резанули или собрали оси на рутерах и точках присутствия без поддержки ГРЕ (хотя божаться что это не так) и ВПН из локалки я поднять не могу, стандартный ответ "купите внешний ИП". Ну это так, лирика об ушлепках.
3) Многие гейты из локалок в инет юзают ВПН, чтобы не заморачиваться с аутентификацией юзверя по ИП, МАКам и т.д., так что у стартера это вполне может быть и ломится оно до собсно ВПН-сервака этого Балу. Тут все законно.
4) Исходящий трафик в таких стабильных объемах - это однозначно рассылка спама. Умникам на анлиме, которым все пох - пусть вам и дальше будет пох, и вы всем тоже быстро станете пох, в том числе и своему (бывшему) прову.
5) В аутпосте действительно можно грохнуть ГРЕ и лишиться при этом инета (см. пункт 3.)

Вывод - давить засевшего зверька в зародыше. Могу заметить, что падла достаточно умная, если под@бнула аутпост. Скорее всего нулевое кольцо кода или внедрение в стек NDIS.
 
Ви повинні увійти або зареєструватися, щоб відповісти.
Назад
Зверху Знизу