forum.opennet.ru - "Много запросов днс на циске" (25)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Много запросов днс на циске"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Много запросов днс на циске"		+/–
Сообщение от DNS и Cisco on 26-Май-09, 13:06
С некоторых пор заметил огромного количество нат преобразований по 53 порту на циске. sh ip nat tr \| begin :53 udp 1.1.1.1:49260 192.168.10.2:49260 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:49273 192.168.10.2:49273 83.242.139.10:53 83.242.139.10:53 udp 1.1.1.1:49273 192.168.10.2:49273 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50349 192.168.10.2:50349 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50354 192.168.10.2:50354 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50406 192.168.10.2:50406 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50446 192.168.10.2:50446 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50475 192.168.10.2:50475 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50554 192.168.10.2:50554 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50588 192.168.10.2:50588 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50627 192.168.10.2:50627 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50648 192.168.10.2:50648 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50729 192.168.10.2:50729 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50743 192.168.10.2:50743 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50824 192.168.10.2:50824 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50867 192.168.10.2:50867 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50897 192.168.10.2:50897 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50938 192.168.10.2:50938 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50968 192.168.10.2:50968 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50985 192.168.10.2:50985 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:50990 192.168.10.2:50990 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:51064 192.168.10.2:51064 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:51125 192.168.10.2:51125 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:51134 192.168.10.2:51134 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:51139 192.168.10.2:51139 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:51208 192.168.10.2:51208 83.242.140.10:53 83.242.140.10:53 udp 1.1.1.1:51379 192.168.10.2:51379 83.242.140.10:53 83.242.140.10:53 этих трасляций десятки в нат таблице.(1.1.1.1 - интерфейс к провайдеру),днс прова 83.242.140.10 Днс работает стандартно. У клиентов указан внутренний днс,а сам внутренний днс делает фарвординг запросов на днс провайдера 83.242.140.10. Вирусов на серваке где размещен внутренний днс нет. Из-за возникшей ситуации с днс возникли проблемы с производительностью интернета,все начало жутко подтупливать..Считаю данную ситуации аномальной так как настроены еще 3 циски аналогично в других филиалах и проблем с днс нет думаю этих строк из конфига циски будет достаточно что касается днс. ( список доступа который размещен на внутреннем интерфейсе циски) ip access-list extended X.x.x.x permit udp host 192.168.10.2 host 83.242.140.10 eq domain permit udp host 192.168.10.2 host 83.242.139.10 eq domain permit udp host 192.168.10.3 host 83.242.140.10 eq domain permit udp host 192.168.10.3 host 83.242.139.10 eq domain ip access-list extended Local_to_Comstar permit udp host 192.168.10.2 host 83.242.140.10 eq domain Всем спасибо!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Много запросов днс на циске, vest, 13:39 , 26-Май-09, (1)

Много запросов днс на циске, DNS и Cisco, 13:59 , 26-Май-09, (2)

Много запросов днс на циске, DNS и Cisco, 14:01 , 26-Май-09, (3)

Много запросов днс на циске, vest, 00:39 , 27-Май-09, (5)

IMHO, у вас вирус на 192.168.10.2, j_vw, 20:41 , 26-Май-09, (4)

IMHO, у вас вирус на 192.168.10.2, SergTel, 22:31 , 27-Май-09, (6)

IMHO, у вас вирус на 192.168.10.2, DNS и Cisco, 09:21 , 28-Май-09, (7)

IMHO, у вас вирус на 192.168.10.2, huk, 10:23 , 28-Май-09, (8)

IMHO, у вас вирус на 192.168.10.2, DNS и Cisco, 10:25 , 28-Май-09, (9)

IMHO, у вас вирус на 192.168.10.2, huk, 10:32 , 28-Май-09, (10)
Вот Это попробуйте:, j_vw, 21:09 , 28-Май-09, (11)

И, если это ТО, о чем я думаю (+), j_vw, 22:42 , 28-Май-09, (12)

Правда, это если у вас не собственный почтовик внутри (-), j_vw, 22:47 , 28-Май-09, (13)

Правда, это если у вас не собственный почтовик внутри (-), momo, 23:26 , 28-Май-09, (14)

Это выходит за рамки данной конференции, j_vw, 23:41 , 28-Май-09, (15)

Это выходит за рамки данной конференции, momo, 23:49 , 28-Май-09, (16)

Ну, не умерла...., j_vw, 23:52 , 28-Май-09, (18)

DNS сервер, понятно, в другую подсеть....(-), j_vw, 23:50 , 28-Май-09, (17)

DNS сервер, понятно, в другую подсеть....(-), momo, 23:59 , 28-Май-09, (19)
DNS сервер, понятно, в другую подсеть....(-), huk, 10:33 , 29-Май-09, (20)
DNS сервер, понятно, в другую подсеть....(-), momo, 13:12 , 29-Май-09, (21)
DNS сервер, понятно, в другую подсеть....(-), huk, 14:12 , 29-Май-09, (22)
DNS сервер, понятно, в другую подсеть....(-), SergTel, 14:41 , 29-Май-09, (23)
DNS сервер, понятно, в другую подсеть....(-), SergTel, 14:45 , 29-Май-09, (24)
DNS сервер, понятно, в другую подсеть....(-), momo, 14:47 , 29-Май-09, (25)

Сообщения по теме [Сортировка по времени | RSS]

1. "Много запросов днс на циске" +/–

Сообщение от vest on 26-Май-09, 13:39

>[оверквотинг удален]
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
> permit udp host 192.168.10.2 host 83.242.139.10 eq domain
> permit udp host 192.168.10.3 host 83.242.140.10 eq domain
> permit udp host 192.168.10.3 host 83.242.139.10 eq domain
>
>ip access-list extended Local_to_Comstar
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
>
>Всем спасибо!
>
У вас внутренний ДНС находится во внутренней сети?
Попробуйте сделать подобный список на внутреннем интерфейсе:
cisco(config)#access-list 100 permit udp host <IP внутреннего ДНС> eq domain host 83.242.140.10 eq domain
cisco(config)#access-list 100 deny udp any eq domain any eq domain
cisco(config)#access-list 100 permit ip any any
cisco(config-if)#ip access-group 100 in
и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
cisco(config)#access-list 110 deny udp any eq domain any eq domain
cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
cisco(config-if)#ip access-group 110 in
Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из внутренней сети могли обращаться "правильные" пользователи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Много запросов днс на циске" +/–

Сообщение от DNS и Cisco on 26-Май-09, 13:59

>[оверквотинг удален]
>cisco(config-if)#ip access-group 100 in
>и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
>
>cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
>cisco(config)#access-list 110 deny udp any eq domain any eq domain
>cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
>cisco(config-if)#ip access-group 110 in
>
>Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из
>внутренней сети могли обращаться "правильные" пользователи.
у меня используется технология ip inspect для открытия обратных портов на внешнем интерфейсе
ip inspect name IPFW dns
ip inspect name IPFW http
ip inspect name IPFW tcp
ip inspect name IPFW udp
ip inspect name IPFW icmp
ip inspect name IPFW ftp

согласно списку доступа наложенным на внешней интерфейс то днс из вне блокируется для всех адресов
ip access-list extended Comstar_2
permit icmp any host 1.1.1.1
permit tcp any host 1.1.1.1 eq smtp
permit udp any host 1.1.1.1 eq isakmp
permit udp any host 1.1.1.1 eq non500-isakmp
permit esp any host 1.1.1.1

а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены только с адреса 192.168.10.2 на днс прова 83.26.140.10
т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Много запросов днс на циске" +/–

Сообщение от DNS и Cisco on 26-Май-09, 14:01

>[оверквотинг удален]
> permit tcp any host 1.1.1.1 eq smtp
> permit udp any host 1.1.1.1 eq isakmp
> permit udp any host 1.1.1.1 eq non500-isakmp
> permit esp any host 1.1.1.1
>
>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>
>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>
да,внутренний днс находиться внутри сети

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Много запросов днс на циске" +/–

Сообщение от vest on 27-Май-09, 00:39

>[оверквотинг удален]
>> permit udp any host 1.1.1.1 eq non500-isakmp
>> permit esp any host 1.1.1.1
>>
>>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>>
>>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>>
>
>да,внутренний днс находиться внутри сети
Тогда вы не там ищите решение, не надо пытаться поставить костыли, тем более что в данном случае это проблематично, надо лечить причину.
Если постоянные запросы на трансляцию в нат идут с внутреннего dns-сервера, то кто-то же эти запросы создает, не правда ли? Если не сам сервер, то кто-то 3-й? :)
Шерше ля фам. :)
Посмотрите на сервере, кто на него шлет постоянно запросы....... в логах должно быть видно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IMHO, у вас вирус на 192.168.10.2" +/–

Сообщение от j_vw on 26-Май-09, 20:41

.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IMHO, у вас вирус на 192.168.10.2" +/–

Сообщение от SergTel (ok) on 27-Май-09, 22:31

>.
НЕ факт
вирус на хосте что запросы кидает на 192.168.10.2
Была ситуация точь в точь
вирус на букере работника оказался
он только проверить хотел букер на вирусы
Каспер KIT как публичный дом светился
ситуация при этом была на рутере гиблая
Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и не обязательно с выходом через нат

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IMHO, у вас вирус на 192.168.10.2" +/–

Сообщение от DNS и Cisco on 28-Май-09, 09:21

>[оверквотинг удален]
>
>НЕ факт
>вирус на хосте что запросы кидает на 192.168.10.2
>Была ситуация точь в точь
>вирус на букере работника оказался
>он только проверить хотел букер на вирусы
>Каспер KIT как публичный дом светился
>ситуация при этом была на рутере гиблая
>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>не обязательно с выходом через нат
SergTel
милый человек,а ты не подскажешь как этот вирус назывался или хотя бы чем победили заразу эту?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IMHO, у вас вирус на 192.168.10.2" +/–

Сообщение от huk on 28-Май-09, 10:23

>[оверквотинг удален]
>>вирус на букере работника оказался
>>он только проверить хотел букер на вирусы
>>Каспер KIT как публичный дом светился
>>ситуация при этом была на рутере гиблая
>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>не обязательно с выходом через нат
>
>SergTel
>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>чем победили заразу эту?
Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а дальше хоть в плоть до переустановки системы... это ж уже творческий подоход

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IMHO, у вас вирус на 192.168.10.2" +/–

Сообщение от DNS и Cisco on 28-Май-09, 10:25

>[оверквотинг удален]
>>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>>не обязательно с выходом через нат
>>
>>SergTel
>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>чем победили заразу эту?
>
>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>дальше хоть в плоть до переустановки системы... это ж уже творческий
>подоход
по логам там ничего подозрительного нет,к сожалению....или я не там смотрю

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IMHO, у вас вирус на 192.168.10.2" +/–

Сообщение от huk on 28-Май-09, 10:32

>[оверквотинг удален]
>>>
>>>SergTel
>>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>>чем победили заразу эту?
>>
>>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>>дальше хоть в плоть до переустановки системы... это ж уже творческий
>>подоход
>
>по логам там ничего подозрительного нет,к сожалению....или я не там смотрю
Система какая? Виндюки что ли? Тогда я пас...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Вот Это попробуйте:" +/–

Сообщение от j_vw on 28-Май-09, 21:09

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
По сессиям увидите "клиента" ;)
Что то мне "пятая точка" подсказывает, что у вас еще SMTP трафик должен быть ненормальным ;)
Найдете клиента, запустите на нем:
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Искать в drivers всякую Х;%№" ;)
Ну, и остальное проверить...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "И, если это ТО, о чем я думаю (+)" +/–

Сообщение от j_vw on 28-Май-09, 22:42

То ЭТО вам поможет в диагностике

ip access-list extended TRAP
permit tcp any host "SMTP1" eq smtp
permit tcp any host "SMTP2" eq smtp
deny   tcp any any eq smtp log
permit ip any any

interface "Inside"
ip access-group TRAP in

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Правда, это если у вас не собственный почтовик внутри (-)" +/–

Сообщение от j_vw on 28-Май-09, 22:47

>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Правда, это если у вас не собственный почтовик внутри (-)" +/–

Сообщение от momo (??) on 28-Май-09, 23:26

>>
Вот что интересное выдало tcpview на самом контроллере...я так понимаю сам dns сервер на контроллере и подтупливает так как прогонял и нодом и касперов с последними обновлениями на наличие виря и они ничего не нашли
dns.exe:4092    UDP    adm-serv3:63923    *:*
dns.exe:4092    UDP    adm-serv3:50045    *:*
dns.exe:4092    UDP    adm-serv3:65208    *:*
dns.exe:4092    UDP    adm-serv3:64694    *:*
dns.exe:4092    UDP    adm-serv3:55185    *:*
dns.exe:4092    UDP    adm-serv3:55442    *:*
dns.exe:4092    UDP    adm-serv3:62895    *:*
dns.exe:4092    UDP    adm-serv3:55699    *:*
dns.exe:4092    UDP    adm-serv3:52358    *:*
dns.exe:4092    UDP    adm-serv3:52615    *:*
dns.exe:4092    UDP    adm-serv3:59297    *:*
dns.exe:4092    UDP    adm-serv3:54156    *:*
dns.exe:4092    UDP    adm-serv3:51586    *:*
dns.exe:4092    UDP    adm-serv3:65207    *:*
dns.exe:4092    UDP    adm-serv3:55184    *:*
dns.exe:4092    UDP    adm-serv3:59296    *:*
dns.exe:4092    UDP    adm-serv3:53899    *:*
dns.exe:4092    UDP    adm-serv3:62894    *:*
dns.exe:4092    UDP    adm-serv3:60067    *:*
dns.exe:4092    UDP    adm-serv3:62380    *:*
dns.exe:4092    UDP    adm-serv3:58782    *:*
dns.exe:4092    UDP    adm-serv3:52871    *:*
dns.exe:4092    UDP    adm-serv3:64436    *:*
dns.exe:4092    UDP    adm-serv3:59039    *:*
dns.exe:4092    UDP    adm-serv3:64179    *:*
dns.exe:4092    UDP    adm-serv3:55698    *:*
dns.exe:4092    UDP    adm-serv3:62893    *:*
dns.exe:4092    UDP    adm-serv3:54926    *:*
dns.exe:4092    UDP    adm-serv3:50300    *:*
dns.exe:4092    UDP    adm-serv3:65206    *:*
dns.exe:4092    UDP    adm-serv3:49786    *:*
dns.exe:4092    UDP    adm-serv3:54412    *:*
dns.exe:4092    UDP    adm-serv3:49529    *:*
dns.exe:4092    UDP    adm-serv3:51585    *:*
dns.exe:4092    UDP    adm-serv3:64178    *:*
dns.exe:4092    UDP    adm-serv3:59038    *:*
dns.exe:4092    UDP    adm-serv3:61865    *:*
dns.exe:4092    UDP    adm-serv3:50814    *:*
dns.exe:4092    UDP    adm-serv3:56724    *:*
dns.exe:4092    UDP    adm-serv3:62635    *:*
dns.exe:4092    UDP    adm-serv3:51070    *:*
dns.exe:4092    UDP    adm-serv3:54411    *:*

думаю что это явно не правильно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Это выходит за рамки данной конференции" +/–

Сообщение от j_vw on 28-Май-09, 23:41

"Обходной" маневр :
Настройте в качестве сервера DNS - кошку.
А на кошке пропишите редирект на ваш DNS
Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
Но 100% загрузку в случае вируса можете схватить "на раз" ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Это выходит за рамки данной конференции" +/–

Сообщение от momo (??) on 28-Май-09, 23:49

>"Обходной" маневр :
>Настройте в качестве сервера DNS - кошку.
>А на кошке пропишите редирект на ваш DNS
>
>Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
>
>Но 100% загрузку в случае вируса можете схватить "на раз" ;)
пробовал только вот циска тут же умерла когда я настроил на ней днс..процессор не выдержал нагрузки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Ну, не умерла...." +/–

Сообщение от j_vw on 28-Май-09, 23:52

Пароль будете 10 минут набирать...
Но, подозрение на вирус - определенное...
Перехват по SMTP делали?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от j_vw on 28-Май-09, 23:50

>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от momo (??) on 28-Май-09, 23:59

>>
нет не делал..как можно проделать данную процедуру?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от huk on 29-Май-09, 10:33

>>>
>
>нет не делал..как можно проделать данную процедуру?
скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
установите на сервер и смотрите откуда идут запросы, если в логах не можете найти.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от momo (??) on 29-Май-09, 13:12

>>>>
>>
>>нет не делал..как можно проделать данную процедуру?
>
>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>установите на сервер и смотрите откуда идут запросы, если в логах не
>можете найти.
собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере он показывает что кроме почтовика никто запросы на обработку внешних запросов никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не так много

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от huk on 29-Май-09, 14:12

>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много
В общем... Я уже запутался сколько у вас физически серверных машинок и какие сервера на них подняты... Тем более, если у Вас виндюки стоят.... но это собственно не особо важно, если Вы выяснили какая физически машинка посылает постоянно основную массу запросов...
Берете еще одну машинку... поднимаете на ней тоже самое и ставите на место той, которая шлет всякую х**, а старую временно в угол, отключенной от сети. Если эта х** через циску прекратится, то значит сносите систему на старой машинке к едрени фени ставите все заново...
Если бы юзали *nix на серверах, то было бы проще... там хоть завирусоваться нельзя...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от SergTel (ok) on 29-Май-09, 14:41

>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много
О как много написано!!!
1)Трафик ниоткуда не возьмется его кто-то генерит
Значит надо найти генератора трафика
2)Если в данный момент нет трафика это не значит что его и не будет в будущем, скорее всего данный хост просто выключен
3)Отлов делать исходя из пункта 2 в момент "тупления" интернета.
4)Не все вирусы определяются антивирусной системой
Практика показала что снятие винта с "чистой" машины и подключением к хосту с изначально установленным антивирусом находило достаточно много вирусни в основном BOOT and autoruns types
P.S.
Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под новелом крутился иначе давно бы упал)причем машинка даже в инет не ходила все по сетке и флешках натаскали.
После установки и чистки систем служебный трафик упал в 4 раза.
Судя по описанию это разновидность DOS или DDOS ее могут делать как черви так и бэкдоры
Так что желаю Вам приятной охоты с успешным финалом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от SergTel (ok) on 29-Май-09, 14:45

Да и нормальный провайдер всегда предупреждает о наличии от пользователя подозрительной активности на строго определенных портах

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "DNS сервер, понятно, в другую подсеть....(-)" +/–

Сообщение от momo (??) on 29-Май-09, 14:47

>[оверквотинг удален]
>Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и
>ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
>После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте
>умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под
>новелом крутился иначе давно бы упал)причем машинка даже в инет не
>ходила все по сетке и флешках натаскали.
>После установки и чистки систем служебный трафик упал в 4 раза.
>Судя по описанию это разновидность DOS или DDOS ее могут делать как
>черви так и бэкдоры
>Так что желаю Вам приятной охоты с успешным финалом
спасибо всем кто откликнулся....Проблему удалось решить поднятием друго днс сервера. Запросы по 53 перестали нагружить циску. Видимо сам днс сервер на винде начал подтупливать)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Много запросов днс на циске"		+/–
Сообщение от vest on 26-Май-09, 13:39
>[оверквотинг удален] > permit udp host 192.168.10.2 host 83.242.140.10 eq domain > permit udp host 192.168.10.2 host 83.242.139.10 eq domain > permit udp host 192.168.10.3 host 83.242.140.10 eq domain > permit udp host 192.168.10.3 host 83.242.139.10 eq domain > >ip access-list extended Local_to_Comstar > permit udp host 192.168.10.2 host 83.242.140.10 eq domain > >Всем спасибо! > У вас внутренний ДНС находится во внутренней сети? Попробуйте сделать подобный список на внутреннем интерфейсе: cisco(config)#access-list 100 permit udp host <IP внутреннего ДНС> eq domain host 83.242.140.10 eq domain cisco(config)#access-list 100 deny udp any eq domain any eq domain cisco(config)#access-list 100 permit ip any any cisco(config-if)#ip access-group 100 in и на внешнем, с учетом вашей политики безопасности относительно доступа из вне: cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain cisco(config)#access-list 110 deny udp any eq domain any eq domain cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски> cisco(config-if)#ip access-group 110 in Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из внутренней сети могли обращаться "правильные" пользователи.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Много запросов днс на циске"		+/–
	Сообщение от DNS и Cisco on 26-Май-09, 13:59
	>[оверквотинг удален] >cisco(config-if)#ip access-group 100 in >и на внешнем, с учетом вашей политики безопасности относительно доступа из вне: > >cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain >cisco(config)#access-list 110 deny udp any eq domain any eq domain >cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски> >cisco(config-if)#ip access-group 110 in > >Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из >внутренней сети могли обращаться "правильные" пользователи. у меня используется технология ip inspect для открытия обратных портов на внешнем интерфейсе ip inspect name IPFW dns ip inspect name IPFW http ip inspect name IPFW tcp ip inspect name IPFW udp ip inspect name IPFW icmp ip inspect name IPFW ftp согласно списку доступа наложенным на внешней интерфейс то днс из вне блокируется для всех адресов ip access-list extended Comstar_2 permit icmp any host 1.1.1.1 permit tcp any host 1.1.1.1 eq smtp permit udp any host 1.1.1.1 eq isakmp permit udp any host 1.1.1.1 eq non500-isakmp permit esp any host 1.1.1.1 а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены только с адреса 192.168.10.2 на днс прова 83.26.140.10 т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Много запросов днс на циске"		+/–
	Сообщение от DNS и Cisco on 26-Май-09, 14:01
	>[оверквотинг удален] > permit tcp any host 1.1.1.1 eq smtp > permit udp any host 1.1.1.1 eq isakmp > permit udp any host 1.1.1.1 eq non500-isakmp > permit esp any host 1.1.1.1 > >а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены >только с адреса 192.168.10.2 на днс прова 83.26.140.10 > >т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже? > да,внутренний днс находиться внутри сети
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Много запросов днс на циске"		+/–
	Сообщение от vest on 27-Май-09, 00:39
	>[оверквотинг удален] >> permit udp any host 1.1.1.1 eq non500-isakmp >> permit esp any host 1.1.1.1 >> >>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены >>только с адреса 192.168.10.2 на днс прова 83.26.140.10 >> >>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже? >> > >да,внутренний днс находиться внутри сети Тогда вы не там ищите решение, не надо пытаться поставить костыли, тем более что в данном случае это проблематично, надо лечить причину. Если постоянные запросы на трансляцию в нат идут с внутреннего dns-сервера, то кто-то же эти запросы создает, не правда ли? Если не сам сервер, то кто-то 3-й? :) Шерше ля фам. :) Посмотрите на сервере, кто на него шлет постоянно запросы....... в логах должно быть видно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "IMHO, у вас вирус на 192.168.10.2"		+/–
Сообщение от j_vw on 26-Май-09, 20:41
.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "IMHO, у вас вирус на 192.168.10.2"		+/–
	Сообщение от SergTel (ok) on 27-Май-09, 22:31
	>. НЕ факт вирус на хосте что запросы кидает на 192.168.10.2 Была ситуация точь в точь вирус на букере работника оказался он только проверить хотел букер на вирусы Каспер KIT как публичный дом светился ситуация при этом была на рутере гиблая Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и не обязательно с выходом через нат
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "IMHO, у вас вирус на 192.168.10.2"		+/–
	Сообщение от DNS и Cisco on 28-Май-09, 09:21
	>[оверквотинг удален] > >НЕ факт >вирус на хосте что запросы кидает на 192.168.10.2 >Была ситуация точь в точь >вирус на букере работника оказался >он только проверить хотел букер на вирусы >Каспер KIT как публичный дом светился >ситуация при этом была на рутере гиблая >Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и >не обязательно с выходом через нат SergTel милый человек,а ты не подскажешь как этот вирус назывался или хотя бы чем победили заразу эту?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "IMHO, у вас вирус на 192.168.10.2"		+/–
	Сообщение от huk on 28-Май-09, 10:23
	>[оверквотинг удален] >>вирус на букере работника оказался >>он только проверить хотел букер на вирусы >>Каспер KIT как публичный дом светился >>ситуация при этом была на рутере гиблая >>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и >>не обязательно с выходом через нат > >SergTel >милый человек,а ты не подскажешь как этот вирус назывался или хотя бы >чем победили заразу эту? Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а дальше хоть в плоть до переустановки системы... это ж уже творческий подоход
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "IMHO, у вас вирус на 192.168.10.2"		+/–
	Сообщение от DNS и Cisco on 28-Май-09, 10:25
	>[оверквотинг удален] >>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и >>>не обязательно с выходом через нат >> >>SergTel >>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы >>чем победили заразу эту? > >Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а >дальше хоть в плоть до переустановки системы... это ж уже творческий >подоход по логам там ничего подозрительного нет,к сожалению....или я не там смотрю
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "IMHO, у вас вирус на 192.168.10.2"		+/–
	Сообщение от huk on 28-Май-09, 10:32
	>[оверквотинг удален] >>> >>>SergTel >>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы >>>чем победили заразу эту? >> >>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а >>дальше хоть в плоть до переустановки системы... это ж уже творческий >>подоход > >по логам там ничего подозрительного нет,к сожалению....или я не там смотрю Система какая? Виндюки что ли? Тогда я пас...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Вот Это попробуйте:"		+/–
	Сообщение от j_vw on 28-Май-09, 21:09
	http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx По сессиям увидите "клиента" ;) Что то мне "пятая точка" подсказывает, что у вас еще SMTP трафик должен быть ненормальным ;) Найдете клиента, запустите на нем: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx Искать в drivers всякую Х;%№" ;) Ну, и остальное проверить...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "И, если это ТО, о чем я думаю (+)"		+/–
	Сообщение от j_vw on 28-Май-09, 22:42
	То ЭТО вам поможет в диагностике ip access-list extended TRAP permit tcp any host "SMTP1" eq smtp permit tcp any host "SMTP2" eq smtp deny tcp any any eq smtp log permit ip any any interface "Inside" ip access-group TRAP in
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Правда, это если у вас не собственный почтовик внутри (-)"		+/–
	Сообщение от j_vw on 28-Май-09, 22:47
	>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Правда, это если у вас не собственный почтовик внутри (-)"		+/–
	Сообщение от momo (??) on 28-Май-09, 23:26
	>> Вот что интересное выдало tcpview на самом контроллере...я так понимаю сам dns сервер на контроллере и подтупливает так как прогонял и нодом и касперов с последними обновлениями на наличие виря и они ничего не нашли dns.exe:4092 UDP adm-serv3:63923 : dns.exe:4092 UDP adm-serv3:50045 : dns.exe:4092 UDP adm-serv3:65208 : dns.exe:4092 UDP adm-serv3:64694 : dns.exe:4092 UDP adm-serv3:55185 : dns.exe:4092 UDP adm-serv3:55442 : dns.exe:4092 UDP adm-serv3:62895 : dns.exe:4092 UDP adm-serv3:55699 : dns.exe:4092 UDP adm-serv3:52358 : dns.exe:4092 UDP adm-serv3:52615 : dns.exe:4092 UDP adm-serv3:59297 : dns.exe:4092 UDP adm-serv3:54156 : dns.exe:4092 UDP adm-serv3:51586 : dns.exe:4092 UDP adm-serv3:65207 : dns.exe:4092 UDP adm-serv3:55184 : dns.exe:4092 UDP adm-serv3:59296 : dns.exe:4092 UDP adm-serv3:53899 : dns.exe:4092 UDP adm-serv3:62894 : dns.exe:4092 UDP adm-serv3:60067 : dns.exe:4092 UDP adm-serv3:62380 : dns.exe:4092 UDP adm-serv3:58782 : dns.exe:4092 UDP adm-serv3:52871 : dns.exe:4092 UDP adm-serv3:64436 : dns.exe:4092 UDP adm-serv3:59039 : dns.exe:4092 UDP adm-serv3:64179 : dns.exe:4092 UDP adm-serv3:55698 : dns.exe:4092 UDP adm-serv3:62893 : dns.exe:4092 UDP adm-serv3:54926 : dns.exe:4092 UDP adm-serv3:50300 : dns.exe:4092 UDP adm-serv3:65206 : dns.exe:4092 UDP adm-serv3:49786 : dns.exe:4092 UDP adm-serv3:54412 : dns.exe:4092 UDP adm-serv3:49529 : dns.exe:4092 UDP adm-serv3:51585 : dns.exe:4092 UDP adm-serv3:64178 : dns.exe:4092 UDP adm-serv3:59038 : dns.exe:4092 UDP adm-serv3:61865 : dns.exe:4092 UDP adm-serv3:50814 : dns.exe:4092 UDP adm-serv3:56724 : dns.exe:4092 UDP adm-serv3:62635 : dns.exe:4092 UDP adm-serv3:51070 : dns.exe:4092 UDP adm-serv3:54411 : думаю что это явно не правильно
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Это выходит за рамки данной конференции"		+/–
	Сообщение от j_vw on 28-Май-09, 23:41
	"Обходной" маневр : Настройте в качестве сервера DNS - кошку. А на кошке пропишите редирект на ваш DNS Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;) Но 100% загрузку в случае вируса можете схватить "на раз" ;)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Это выходит за рамки данной конференции"		+/–
	Сообщение от momo (??) on 28-Май-09, 23:49
	>"Обходной" маневр : >Настройте в качестве сервера DNS - кошку. >А на кошке пропишите редирект на ваш DNS > >Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;) > >Но 100% загрузку в случае вируса можете схватить "на раз" ;) пробовал только вот циска тут же умерла когда я настроил на ней днс..процессор не выдержал нагрузки
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Ну, не умерла...."		+/–
	Сообщение от j_vw on 28-Май-09, 23:52
	Пароль будете 10 минут набирать... Но, подозрение на вирус - определенное... Перехват по SMTP делали?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от j_vw on 28-Май-09, 23:50
	>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от momo (??) on 28-Май-09, 23:59
	>> нет не делал..как можно проделать данную процедуру?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от huk on 29-Май-09, 10:33
	>>> > >нет не делал..как можно проделать данную процедуру? скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ установите на сервер и смотрите откуда идут запросы, если в логах не можете найти.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от momo (??) on 29-Май-09, 13:12
	>>>> >> >>нет не делал..как можно проделать данную процедуру? > >скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ >установите на сервер и смотрите откуда идут запросы, если в логах не >можете найти. собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере он показывает что кроме почтовика никто запросы на обработку внешних запросов никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не так много
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от huk on 29-Май-09, 14:12
	>[оверквотинг удален] >>>нет не делал..как можно проделать данную процедуру? >> >>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ >>установите на сервер и смотрите откуда идут запросы, если в логах не >>можете найти. > >собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере >он показывает что кроме почтовика никто запросы на обработку внешних запросов >никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не >так много В общем... Я уже запутался сколько у вас физически серверных машинок и какие сервера на них подняты... Тем более, если у Вас виндюки стоят.... но это собственно не особо важно, если Вы выяснили какая физически машинка посылает постоянно основную массу запросов... Берете еще одну машинку... поднимаете на ней тоже самое и ставите на место той, которая шлет всякую х, а старую временно в угол, отключенной от сети. Если эта х через циску прекратится, то значит сносите систему на старой машинке к едрени фени ставите все заново... Если бы юзали *nix на серверах, то было бы проще... там хоть завирусоваться нельзя...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от SergTel (ok) on 29-Май-09, 14:41
	>[оверквотинг удален] >>>нет не делал..как можно проделать данную процедуру? >> >>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ >>установите на сервер и смотрите откуда идут запросы, если в логах не >>можете найти. > >собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере >он показывает что кроме почтовика никто запросы на обработку внешних запросов >никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не >так много О как много написано!!! 1)Трафик ниоткуда не возьмется его кто-то генерит Значит надо найти генератора трафика 2)Если в данный момент нет трафика это не значит что его и не будет в будущем, скорее всего данный хост просто выключен 3)Отлов делать исходя из пункта 2 в момент "тупления" интернета. 4)Не все вирусы определяются антивирусной системой Практика показала что снятие винта с "чистой" машины и подключением к хосту с изначально установленным антивирусом находило достаточно много вирусни в основном BOOT and autoruns types P.S. Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и ждать..ждать.. или приобрести лицензию на рабочие станции и установить. После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под новелом крутился иначе давно бы упал)причем машинка даже в инет не ходила все по сетке и флешках натаскали. После установки и чистки систем служебный трафик упал в 4 раза. Судя по описанию это разновидность DOS или DDOS ее могут делать как черви так и бэкдоры Так что желаю Вам приятной охоты с успешным финалом
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от SergTel (ok) on 29-Май-09, 14:45
	Да и нормальный провайдер всегда предупреждает о наличии от пользователя подозрительной активности на строго определенных портах
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "DNS сервер, понятно, в другую подсеть....(-)"		+/–
	Сообщение от momo (??) on 29-Май-09, 14:47
	>[оверквотинг удален] >Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и >ждать..ждать.. или приобрести лицензию на рабочие станции и установить. >После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте >умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под >новелом крутился иначе давно бы упал)причем машинка даже в инет не >ходила все по сетке и флешках натаскали. >После установки и чистки систем служебный трафик упал в 4 раза. >Судя по описанию это разновидность DOS или DDOS ее могут делать как >черви так и бэкдоры >Так что желаю Вам приятной охоты с успешным финалом спасибо всем кто откликнулся....Проблему удалось решить поднятием друго днс сервера. Запросы по 53 перестали нагружить циску. Видимо сам днс сервер на винде начал подтупливать)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]