The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Много запросов днс на циске"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Много запросов днс на циске"  +/
Сообщение от DNS и Cisco on 26-Май-09, 13:06 
С некоторых пор заметил огромного количество нат преобразований по 53 порту на циске.
sh ip nat tr | begin :53


udp 1.1.1.1:49260   192.168.10.2:49260    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:49273   192.168.10.2:49273    83.242.139.10:53      83.242.139.10:53
udp 1.1.1.1:49273   192.168.10.2:49273    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50349   192.168.10.2:50349    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50354   192.168.10.2:50354    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50406   192.168.10.2:50406    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50446   192.168.10.2:50446    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50475   192.168.10.2:50475    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50554   192.168.10.2:50554    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50588   192.168.10.2:50588    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50627   192.168.10.2:50627    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50648   192.168.10.2:50648    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50729   192.168.10.2:50729    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50743   192.168.10.2:50743    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50824   192.168.10.2:50824    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50867   192.168.10.2:50867    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50897   192.168.10.2:50897    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50938   192.168.10.2:50938    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50968   192.168.10.2:50968    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50985   192.168.10.2:50985    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:50990   192.168.10.2:50990    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51064   192.168.10.2:51064    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51125   192.168.10.2:51125    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51134   192.168.10.2:51134    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51139   192.168.10.2:51139    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51208   192.168.10.2:51208    83.242.140.10:53      83.242.140.10:53
udp 1.1.1.1:51379   192.168.10.2:51379    83.242.140.10:53      83.242.140.10:53

этих трасляций десятки в нат таблице.(1.1.1.1 - интерфейс к провайдеру),днс прова 83.242.140.10

Днс работает стандартно. У клиентов указан внутренний днс,а сам внутренний днс делает фарвординг запросов на днс провайдера 83.242.140.10. Вирусов на серваке где размещен внутренний днс нет.


Из-за возникшей ситуации с днс возникли проблемы с производительностью интернета,все начало жутко подтупливать..Считаю данную ситуации аномальной так как настроены еще 3 циски аналогично в других филиалах и проблем с днс нет

думаю этих строк из конфига циски будет достаточно что касается днс. ( список доступа который размещен на внутреннем интерфейсе циски)
ip access-list extended X.x.x.x
permit udp host 192.168.10.2 host 83.242.140.10 eq domain
permit udp host 192.168.10.2 host 83.242.139.10 eq domain
permit udp host 192.168.10.3 host 83.242.140.10 eq domain
permit udp host 192.168.10.3 host 83.242.139.10 eq domain

ip access-list extended Local_to_Comstar
permit udp host 192.168.10.2 host 83.242.140.10 eq domain

Всем спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Много запросов днс на циске"  +/
Сообщение от vest on 26-Май-09, 13:39 
>[оверквотинг удален]
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
> permit udp host 192.168.10.2 host 83.242.139.10 eq domain
> permit udp host 192.168.10.3 host 83.242.140.10 eq domain
> permit udp host 192.168.10.3 host 83.242.139.10 eq domain
>
>ip access-list extended Local_to_Comstar
> permit udp host 192.168.10.2 host 83.242.140.10 eq domain
>
>Всем спасибо!
>

У вас внутренний ДНС находится во внутренней сети?
Попробуйте сделать подобный список на внутреннем интерфейсе:
cisco(config)#access-list 100 permit udp host <IP внутреннего ДНС> eq domain host 83.242.140.10 eq domain
cisco(config)#access-list 100 deny udp any eq domain any eq domain
cisco(config)#access-list 100 permit ip any any
cisco(config-if)#ip access-group 100 in
и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
cisco(config)#access-list 110 deny udp any eq domain any eq domain
cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
cisco(config-if)#ip access-group 110 in

Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из внутренней сети могли обращаться "правильные" пользователи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Много запросов днс на циске"  +/
Сообщение от DNS и Cisco on 26-Май-09, 13:59 
>[оверквотинг удален]
>cisco(config-if)#ip access-group 100 in
>и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
>
>cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
>cisco(config)#access-list 110 deny udp any eq domain any eq domain
>cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
>cisco(config-if)#ip access-group 110 in
>
>Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из
>внутренней сети могли обращаться "правильные" пользователи.

у меня используется технология ip inspect для открытия обратных портов на внешнем интерфейсе
ip inspect name IPFW dns
ip inspect name IPFW http
ip inspect name IPFW tcp
ip inspect name IPFW udp
ip inspect name IPFW icmp
ip inspect name IPFW ftp


согласно списку доступа наложенным на внешней интерфейс то днс из вне блокируется для всех адресов
ip access-list extended Comstar_2
permit icmp any host 1.1.1.1
permit tcp any host 1.1.1.1 eq smtp
permit udp any host 1.1.1.1 eq isakmp
permit udp any host 1.1.1.1 eq non500-isakmp
permit esp any host 1.1.1.1

а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены только с адреса 192.168.10.2 на днс прова 83.26.140.10

т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Много запросов днс на циске"  +/
Сообщение от DNS и Cisco on 26-Май-09, 14:01 
>[оверквотинг удален]
> permit tcp any host 1.1.1.1 eq smtp
> permit udp any host 1.1.1.1 eq isakmp
> permit udp any host 1.1.1.1 eq non500-isakmp
> permit esp any host 1.1.1.1
>
>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>
>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>

да,внутренний днс находиться внутри сети

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Много запросов днс на циске"  +/
Сообщение от vest on 27-Май-09, 00:39 
>[оверквотинг удален]
>> permit udp any host 1.1.1.1 eq non500-isakmp
>> permit esp any host 1.1.1.1
>>
>>а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены
>>только с адреса 192.168.10.2 на днс прова 83.26.140.10
>>
>>т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?
>>
>
>да,внутренний днс находиться внутри сети

Тогда вы не там ищите решение, не надо пытаться поставить костыли, тем более что в данном случае это проблематично, надо лечить причину.
Если постоянные запросы на трансляцию в нат идут с внутреннего dns-сервера, то кто-то же эти запросы создает, не правда ли? Если не сам сервер, то кто-то 3-й? :)
Шерше ля фам. :)
Посмотрите на сервере, кто на него шлет постоянно запросы....... в логах должно быть видно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IMHO, у вас вирус на 192.168.10.2"  +/
Сообщение от j_vw on 26-Май-09, 20:41 
.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IMHO, у вас вирус на 192.168.10.2"  +/
Сообщение от SergTel (ok) on 27-Май-09, 22:31 
>.

НЕ факт
вирус на хосте что запросы кидает на 192.168.10.2
Была ситуация точь в точь
вирус на букере работника оказался
он только проверить хотел букер на вирусы
Каспер KIT как публичный дом светился
ситуация при этом была на рутере гиблая
Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и не обязательно с выходом через нат


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IMHO, у вас вирус на 192.168.10.2"  +/
Сообщение от DNS и Cisco on 28-Май-09, 09:21 
>[оверквотинг удален]
>
>НЕ факт
>вирус на хосте что запросы кидает на 192.168.10.2
>Была ситуация точь в точь
>вирус на букере работника оказался
>он только проверить хотел букер на вирусы
>Каспер KIT как публичный дом светился
>ситуация при этом была на рутере гиблая
>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>не обязательно с выходом через нат

SergTel
милый человек,а ты не подскажешь как этот вирус назывался или хотя бы чем победили заразу эту?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IMHO, у вас вирус на 192.168.10.2"  +/
Сообщение от huk on 28-Май-09, 10:23 
>[оверквотинг удален]
>>вирус на букере работника оказался
>>он только проверить хотел букер на вирусы
>>Каспер KIT как публичный дом светился
>>ситуация при этом была на рутере гиблая
>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>не обязательно с выходом через нат
>
>SergTel
>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>чем победили заразу эту?

Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а дальше хоть в плоть до переустановки системы... это ж уже творческий подоход

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IMHO, у вас вирус на 192.168.10.2"  +/
Сообщение от DNS и Cisco on 28-Май-09, 10:25 
>[оверквотинг удален]
>>>Так чтос вирус 100500 на любом хосте где 10.2 днс-ом стоит и
>>>не обязательно с выходом через нат
>>
>>SergTel
>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>чем победили заразу эту?
>
>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>дальше хоть в плоть до переустановки системы... это ж уже творческий
>подоход

по логам там ничего подозрительного нет,к сожалению....или я не там смотрю

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IMHO, у вас вирус на 192.168.10.2"  +/
Сообщение от huk on 28-Май-09, 10:32 
>[оверквотинг удален]
>>>
>>>SergTel
>>>милый человек,а ты не подскажешь как этот вирус назывался или хотя бы
>>>чем победили заразу эту?
>>
>>Вам же уже сказали сказали, посмотрите логи сервера, вычислите зараженную машину... а
>>дальше хоть в плоть до переустановки системы... это ж уже творческий
>>подоход
>
>по логам там ничего подозрительного нет,к сожалению....или я не там смотрю

Система какая? Виндюки что ли? Тогда я пас...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Вот Это попробуйте:"  +/
Сообщение от j_vw on 28-Май-09, 21:09 
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

По сессиям увидите "клиента" ;)
Что то мне "пятая точка" подсказывает, что у вас еще SMTP трафик должен быть ненормальным ;)

Найдете клиента, запустите на нем:
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Искать в drivers всякую Х;%№" ;)
Ну, и остальное проверить...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "И, если это ТО, о чем я думаю (+)"  +/
Сообщение от j_vw on 28-Май-09, 22:42 
То ЭТО вам поможет в диагностике


ip access-list extended TRAP
permit tcp any host "SMTP1" eq smtp
permit tcp any host "SMTP2" eq smtp
deny   tcp any any eq smtp log
permit ip any any


interface "Inside"
ip access-group TRAP in


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Правда, это если у вас не собственный почтовик внутри (-)"  +/
Сообщение от j_vw on 28-Май-09, 22:47 
>
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Правда, это если у вас не собственный почтовик внутри (-)"  +/
Сообщение от momo (??) on 28-Май-09, 23:26 
>>

Вот что интересное выдало tcpview на самом контроллере...я так понимаю сам dns сервер на контроллере и подтупливает так как прогонял и нодом и касперов с последними обновлениями на наличие виря и они ничего не нашли

dns.exe:4092    UDP    adm-serv3:63923    *:*        
dns.exe:4092    UDP    adm-serv3:50045    *:*        
dns.exe:4092    UDP    adm-serv3:65208    *:*        
dns.exe:4092    UDP    adm-serv3:64694    *:*        
dns.exe:4092    UDP    adm-serv3:55185    *:*        
dns.exe:4092    UDP    adm-serv3:55442    *:*        
dns.exe:4092    UDP    adm-serv3:62895    *:*        
dns.exe:4092    UDP    adm-serv3:55699    *:*        
dns.exe:4092    UDP    adm-serv3:52358    *:*        
dns.exe:4092    UDP    adm-serv3:52615    *:*        
dns.exe:4092    UDP    adm-serv3:59297    *:*        
dns.exe:4092    UDP    adm-serv3:54156    *:*        
dns.exe:4092    UDP    adm-serv3:51586    *:*        
dns.exe:4092    UDP    adm-serv3:65207    *:*        
dns.exe:4092    UDP    adm-serv3:55184    *:*        
dns.exe:4092    UDP    adm-serv3:59296    *:*        
dns.exe:4092    UDP    adm-serv3:53899    *:*        
dns.exe:4092    UDP    adm-serv3:62894    *:*        
dns.exe:4092    UDP    adm-serv3:60067    *:*        
dns.exe:4092    UDP    adm-serv3:62380    *:*        
dns.exe:4092    UDP    adm-serv3:58782    *:*        
dns.exe:4092    UDP    adm-serv3:52871    *:*        
dns.exe:4092    UDP    adm-serv3:64436    *:*        
dns.exe:4092    UDP    adm-serv3:59039    *:*        
dns.exe:4092    UDP    adm-serv3:64179    *:*        
dns.exe:4092    UDP    adm-serv3:55698    *:*        
dns.exe:4092    UDP    adm-serv3:62893    *:*        
dns.exe:4092    UDP    adm-serv3:54926    *:*        
dns.exe:4092    UDP    adm-serv3:50300    *:*        
dns.exe:4092    UDP    adm-serv3:65206    *:*        
dns.exe:4092    UDP    adm-serv3:49786    *:*        
dns.exe:4092    UDP    adm-serv3:54412    *:*        
dns.exe:4092    UDP    adm-serv3:49529    *:*        
dns.exe:4092    UDP    adm-serv3:51585    *:*        
dns.exe:4092    UDP    adm-serv3:64178    *:*        
dns.exe:4092    UDP    adm-serv3:59038    *:*        
dns.exe:4092    UDP    adm-serv3:61865    *:*        
dns.exe:4092    UDP    adm-serv3:50814    *:*        
dns.exe:4092    UDP    adm-serv3:56724    *:*        
dns.exe:4092    UDP    adm-serv3:62635    *:*        
dns.exe:4092    UDP    adm-serv3:51070    *:*        
dns.exe:4092    UDP    adm-serv3:54411    *:*        


думаю что это явно не правильно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Это выходит за рамки данной конференции"  +/
Сообщение от j_vw on 28-Май-09, 23:41 
"Обходной" маневр :
Настройте в качестве сервера DNS - кошку.
А на кошке пропишите редирект на ваш DNS

Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
Но 100% загрузку в случае вируса можете схватить "на раз" ;)  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Это выходит за рамки данной конференции"  +/
Сообщение от momo (??) on 28-Май-09, 23:49 
>"Обходной" маневр :
>Настройте в качестве сервера DNS - кошку.
>А на кошке пропишите редирект на ваш DNS
>
>Вот тогда по sh ip nat tra вы сможете увидить "виновника" ;)
>
>Но 100% загрузку в случае вируса можете схватить "на раз" ;)

пробовал только вот циска тут же умерла когда я настроил на ней днс..процессор не выдержал нагрузки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Ну, не умерла...."  +/
Сообщение от j_vw on 28-Май-09, 23:52 
Пароль будете 10 минут набирать...
Но, подозрение на вирус - определенное...
Перехват по SMTP делали?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от j_vw on 28-Май-09, 23:50 
>
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от momo (??) on 28-Май-09, 23:59 
>>

нет не делал..как можно проделать данную процедуру?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от huk on 29-Май-09, 10:33 
>>>
>
>нет не делал..как можно проделать данную процедуру?

скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
установите на сервер и смотрите откуда идут запросы, если в логах не можете найти.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от momo (??) on 29-Май-09, 13:12 
>>>>
>>
>>нет не делал..как можно проделать данную процедуру?
>
>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>установите на сервер и смотрите откуда идут запросы, если в логах не
>можете найти.

собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере он показывает что кроме почтовика никто запросы на обработку внешних запросов никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не так много

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от huk on 29-Май-09, 14:12 
>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много

В общем... Я уже запутался сколько у вас физически серверных машинок и какие сервера на них подняты... Тем более, если у Вас виндюки стоят.... но это собственно не особо важно, если Вы выяснили какая физически машинка посылает постоянно основную массу запросов...
Берете еще одну машинку... поднимаете на ней тоже самое и ставите на место той, которая шлет всякую х**, а старую временно в угол, отключенной от сети. Если эта х** через циску прекратится, то значит сносите систему на старой машинке к едрени фени ставите все заново...
Если бы юзали *nix на серверах, то было бы проще... там хоть завирусоваться нельзя...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от SergTel (ok) on 29-Май-09, 14:41 
>[оверквотинг удален]
>>>нет не делал..как можно проделать данную процедуру?
>>
>>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/
>>установите на сервер и смотрите откуда идут запросы, если в логах не
>>можете найти.
>
>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере
>он показывает что кроме почтовика никто запросы на обработку внешних запросов
>никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не
>так много

О как много написано!!!
1)Трафик ниоткуда не возьмется его кто-то генерит
Значит надо найти генератора трафика
2)Если в данный момент нет трафика это не значит что его и не будет в будущем, скорее всего данный хост просто выключен
3)Отлов делать исходя из пункта 2 в момент "тупления" интернета.
4)Не все вирусы определяются антивирусной системой
Практика показала что снятие винта с "чистой" машины и подключением к хосту с изначально установленным антивирусом находило достаточно много вирусни в основном BOOT and autoruns types
P.S.
Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под новелом крутился иначе давно бы упал)причем машинка даже в инет не ходила все по сетке и флешках натаскали.
После установки и чистки систем служебный трафик упал в 4 раза.
Судя по описанию это разновидность DOS или DDOS ее могут делать как черви так и бэкдоры
Так что желаю Вам приятной охоты с успешным финалом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от SergTel (ok) on 29-Май-09, 14:45 
Да и нормальный провайдер всегда предупреждает о наличии от пользователя подозрительной активности на строго определенных портах
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "DNS сервер, понятно, в другую подсеть....(-)"  +/
Сообщение от momo (??) on 29-Май-09, 14:47 
>[оверквотинг удален]
>Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и
>ждать..ждать.. или приобрести лицензию на рабочие станции и установить.
>После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте
>умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под
>новелом крутился иначе давно бы упал)причем машинка даже в инет не
>ходила все по сетке и флешках натаскали.
>После установки и чистки систем служебный трафик упал в 4 раза.
>Судя по описанию это разновидность DOS или DDOS ее могут делать как
>черви так и бэкдоры
>Так что желаю Вам приятной охоты с успешным финалом

спасибо всем кто откликнулся....Проблему удалось решить поднятием друго днс сервера. Запросы по 53 перестали нагружить циску. Видимо сам днс сервер на винде начал подтупливать)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру