> Есть приватная сетка клиентов за машиной FreeBSD. > Клиентам запрещено ходить напрямую. Только SQUID. > IPFW ловит с периодичностью в несколько минут такую > деятельность: > две машины (из 20) упрямо лезут на два адреса, > по 80 порту изредка их чередуя > 209.10.17.134 > 209.73.225.8 > > Клиенты под NT4 SP6a > Вирусы на них не обнаружены, точно знаю, что на эти тачки > юзверя пытались ставить Асю, которая была снесена. Больше > они ни чем не выделяются.Посторонних процессов не видно. > > Прошу совета: > Чем бы схватить/разобрать пакеты, чтобы понять что же это > лезет? > Или может кому этот адресок знаком? > > Если сходить телнетом на 80 порт - там что-то есть, но это > не http
если хочешь узнать какое приложение лезет на этот порт, то для этого есть хорошая простецкая програмка, называется Active Ports. Показывает какие порты какое приложение использует. Установи на клиентских машинах и посмотри. В свое время, я долго не мог понят что у меня использует порт 6666. Оказалось UPS
;-)
Есть приватная сетка клиентов за машиной FreeBSD.
Клиентам запрещено ходить напрямую. Только SQUID.
IPFW ловит с периодичностью в несколько минут такую деятельность:
две машины (из 20) упрямо лезут на два адреса,
по 80 порту изредка их чередуя
209.10.17.134
209.73.225.8
Клиенты под NT4 SP6a
Вирусы на них не обнаружены, точно знаю, что на эти тачки
юзверя пытались ставить Асю, которая была снесена. Больше они ни чем не выделяются.Посторонних процессов не видно.
Прошу совета:
Чем бы схватить/разобрать пакеты, чтобы понять что же это лезет?
Или может кому этот адресок знаком?
Если сходить телнетом на 80 порт - там что-то есть, но это не http
Загадочные пролазы на 209.10.17.134:8001.04.02 08:41 Автор: funky Статус: Незарегистрированный пользователь
> Есть приватная сетка клиентов за машиной FreeBSD. > Клиентам запрещено ходить напрямую. Только SQUID. > IPFW ловит с периодичностью в несколько минут такую > деятельность: > две машины (из 20) упрямо лезут на два адреса, > по 80 порту изредка их чередуя > 209.10.17.134 > 209.73.225.8 > > Клиенты под NT4 SP6a > Вирусы на них не обнаружены, точно знаю, что на эти тачки > юзверя пытались ставить Асю, которая была снесена. Больше > они ни чем не выделяются.Посторонних процессов не видно. > > Прошу совета: > Чем бы схватить/разобрать пакеты, чтобы понять что же это > лезет? > Или может кому этот адресок знаком? > > Если сходить телнетом на 80 порт - там что-то есть, но это > не http
если хочешь узнать какое приложение лезет на этот порт, то для этого есть хорошая простецкая програмка, называется Active Ports. Показывает какие порты какое приложение использует. Установи на клиентских машинах и посмотри. В свое время, я долго не мог понят что у меня использует порт 6666. Оказалось UPS
;-)
Много раз уже для этого (отлавливание пакетов) советовали
IRIS Network Traffic Analyzer 2.0
или поздние, но кряк я только на неё нашел.
Там ставишь фильтр на пакеты, которые идут с этих машин и посмотришь, что там.
Ссылку даунлода не помню, если понадобится и не найдёшь могу залить.
Загадочные пролазы на 209.10.17.134:8024.03.02 16:13 Автор: :-) <:-)> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
