LINUX.ORG.RU
ФорумAdmin

Подозрение на DDOS


0

1

Заметил об аномальной активности(тысячи сессий в секунду) от одного узла(компы там за натом, их менее 50) .

Так вот все они ходят на разные ипы(не более 9 флоу на ип) на порту 500 и по UDP + среднее количество байтов в пакете 472 и скорость бит тоже очень малое.

Предполагаю что :

1) Эти компы заражены и производят DDOS?

2) Это торренты?( у нас проходят только encrypted )

★★★★★

ещё вариант - там винда с вируснёй\троянами. Похожая картина была, на тачках послись win32.expiro(букву не помню)

Lwulf
()
Ответ на: комментарий от Lwulf

только в моём случаем можно было выделить 25 одинаковых адресов, к коим и был заблокирован доступ.

П.с. сообщение прочитал, да заражены :) Голова думает, а руки уже всё написали и отправили.

Lwulf
()

Так вот все они ходят на разные ипы(не более 9 флоу на ип) на порту 500 и по UDP +

/etc/services подсказывает, что обычно это isakmp (есть в вики), не разбираюсь, но м.б. это фича или керберос какой-нибудь криво настроен?

2) Это торренты?( у нас проходят только encrypted )

на один порт и все... это вряд ли

anonymous
()
Ответ на: комментарий от dreamer

Я только с netflow вижу . Сниф немного много будет забирать( гигабиты каптить немного тяжковато ). К узлу скорее всего мне придеться самому поехать разобраться(младший стафф туповат и грубит (: )

pinachet ★★★★★
() автор топика
Ответ на: комментарий от anonymous

/etc/services подсказывает, что обычно это isakmp (есть в вики), не разбираюсь, но м.б. это фича или керберос какой-нибудь криво настроен?

Ничего из керберос и исакмп там не юзается(в нашей сети) может они стороние юзают но маловероятно.

pinachet ★★★★★
() автор топика
Ответ на: комментарий от Lwulf

Похожая картина была, на тачках послись win32.expiro(букву не помню)

А где можно по быстрому найти в вирусных базах описание тех кто юзает?

pinachet ★★★★★
() автор топика

это точно не торренты. Если подозреваешь вири, узнай, не используется ли IPSEC, если нет - режь порт

Pinkbyte ★★★★★
()
Ответ на: комментарий от pinachet

если компы не зомби, то по адресам к которым идет обращение.

Lwulf
()
Ответ на: комментарий от Pinkbyte

это точно не торренты. Если подозреваешь вири, узнай, не используется ли IPSEC, если нет - режь порт

Ipsec там точно нету.

pinachet ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.