Здраствуйте!
Предположительно по корпоративной сети гуляет вирус (Win32.HLLW.Shadow.based, Net-Worm.Win32.Kido), и через интерфейс локальной сети засоряет все остальные интерфейсы маршрутизатора, что отрицательно сказывается на качестве работы этих каналов.Пинг на маршрутизатор с включенным интерфейсом локальной сети:
Статистика Ping для X.X.X.X:
Пакетов: отправлено = 590, получено = 584, потеряно = 6 (1% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 137мсек, Максимальное = 894 мсек, Среднее = 267 мсек
Пинг на маршрутизатор с включенным интерфейсом локальной сети:
Статистика Ping для X.X.X.X:
Пакетов: отправлено = 431, получено = 431, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 138мсек, Максимальное = 248 мсек, Среднее = 193 мсек
Порт tcp который использует червь нашли - 445, после его загрузка каналов пропала:
ip access-list extended cp
deny tcp any any eq 445
permit tcp any any
permit udp any any
permit ip any any
#sh access-lists cp
Extended IP access list cp
10 deny tcp any any eq 445 (6647047 matches)
20 permit tcp any any (273288 matches)
30 permit udp any any (218410 matches)
40 permit ip any any (25079 matches)
Но недавно эта проблема снова появилась, но теперь вирус использует порты UDP.
Вот статистика за 5 минутный интервал:
#sh access-lists cp
Extended IP access list cp
10 deny tcp any any eq 445
20 permit tcp any any (54683 matches)
30 permit udp any any (216318 matches)
40 permit ip any any (3350 matches)
Кто-нибудь с этим сталкивался? И есть ли какие-нибудь методы борьбы?
Заранее спасибо за помощь