Zvýšený traffic na z Netu do pc
Zdravím, nevím jak to správně napsat, ale v poslední době jsem si všimnul, že se mi nějak navýšil počet přijatých paketů, (nebo čehoto) jdoucí z Netu do pecka. Delší dobu používám prog. Net Activity Diagram, kde je to jasně vidět - viz foto. Všechny prog. jedoucí na pozadí (Scype a jim podobné) jsem vypnul, projel pecko Superantispywerem, zkouknul jsem nastavení v Msconfig - vše z nulovým výsledkem. Přikládám i výpis z prog. Hijackthis - je zajímavé, že ty poslední položky "023" se nedají zrušit. Nejsem paranoidní, ale s..e mě to.... Poradí někdo, jak s tím skoncovat ? Do reinstalu se mi nechce a taky mě to zajímá..Dík....
W7,Opera, veřejná Ip
![[fuMVr.jpg]](http://s4.postimage.org/fuMVr.jpg)
Spusti tcpview a pozri sa na spojenia.
System 4 TCP Pavel-PC microsoft-ds Pavel-PC 0 LISTENING
System 4 TCP Pavel-PC wsd Pavel-PC 0 LISTENING
opera.exe 1112 TCP pavel-pc 49761 fx-in-f155.1e100.net http ESTABLISHED
opera.exe 1112 TCP pavel-pc 49773 fx-in-f155.1e100.net http ESTABLISHED
[System Process] 0 TCP pavel-pc 49760 fx-in-f167.1e100.net http TIME_WAIT
svchost.exe 744 TCP Pavel-PC epmap Pavel-PC 0 LISTENING
System 4 TCP pavel-pc netbios-ssn Pavel-PC 0 LISTENING
svchost.exe 2368 TCP Pavel-PC ftps Pavel-PC 0 LISTENING
svchost.exe 1156 TCP Pavel-PC ms-wbt-server Pavel-PC 0 LISTENING
svchost.exe 2368 TCP Pavel-PC dccm Pavel-PC 0 LISTENING
svchost.exe 2368 TCP Pavel-PC 7438 Pavel-PC 0 LISTENING
wininit.exe 432 TCP Pavel-PC 49152 Pavel-PC 0 LISTENING
svchost.exe 876 TCP Pavel-PC 49153 Pavel-PC 0 LISTENING
svchost.exe 948 TCP Pavel-PC 49154 Pavel-PC 0 LISTENING
services.exe 480 TCP Pavel-PC 49155 Pavel-PC 0 LISTENING
lsass.exe 496 TCP Pavel-PC 49156 Pavel-PC 0 LISTENING
svchost.exe 744 TCPV6 pavel-pc epmap pavel-pc 0 LISTENING
System 4 TCPV6 pavel-pc microsoft-ds pavel-pc 0 LISTENING
svchost.exe 2368 TCPV6 pavel-pc ftps pavel-pc 0 LISTENING
svchost.exe 1156 TCPV6 pavel-pc ms-wbt-server pavel-pc 0 LISTENING
System 4 TCPV6 pavel-pc wsd pavel-pc 0 LISTENING
svchost.exe 2368 TCPV6 [0:0:0:0:0:0:0:1] dccm pavel-pc 0 LISTENING
wininit.exe 432 TCPV6 pavel-pc 49152 pavel-pc 0 LISTENING
svchost.exe 876 TCPV6 pavel-pc 49153 pavel-pc 0 LISTENING
svchost.exe 948 TCPV6 pavel-pc 49154 pavel-pc 0 LISTENING
services.exe 480 TCPV6 pavel-pc 49155 pavel-pc 0 LISTENING
lsass.exe 496 TCPV6 pavel-pc 49156 pavel-pc 0 LISTENING
System 4 UDP pavel-pc netbios-ns * *
System 4 UDP pavel-pc netbios-dgm * * 1 209 2 410
svchost.exe 948 UDP Pavel-PC isakmp * *
svchost.exe 1536 UDP pavel-pc ssdp * *
opera.exe 1112 UDP pavel-pc ssdp * *
svchost.exe 1536 UDP Pavel-PC ssdp * *
svchost.exe 500 UDP Pavel-PC ws-discovery * *
svchost.exe 1536 UDP Pavel-PC ws-discovery * *
svchost.exe 1536 UDP Pavel-PC ws-discovery * *
svchost.exe 500 UDP Pavel-PC ws-discovery * *
svchost.exe 948 UDP Pavel-PC ipsec-msft * *
svchost.exe 1156 UDP Pavel-PC llmnr * *
svchost.exe 500 UDP Pavel-PC 53004 * *
svchost.exe 1536 UDP pavel-pc 53007 * *
svchost.exe 1536 UDP Pavel-PC 53008 * *
opera.exe 1112 UDP pavel-pc 55591 * *
svchost.exe 1536 UDP Pavel-PC 56278 * *
svchost.exe 948 UDPV6 pavel-pc 500 * *
svchost.exe 1536 UDPV6 [0:0:0:0:0:0:0:1] 1900 * *
svchost.exe 1536 UDPV6 pavel-pc 3702 * *
svchost.exe 1536 UDPV6 pavel-pc 3702 * *
svchost.exe 500 UDPV6 pavel-pc 3702 * *
svchost.exe 500 UDPV6 pavel-pc 3702 * *
svchost.exe 948 UDPV6 pavel-pc 4500 * *
svchost.exe 500 UDPV6 pavel-pc 53005 * *
svchost.exe 1536 UDPV6 [0:0:0:0:0:0:0:1] 53006 * *
svchost.exe 1536 UDPV6 pavel-pc 56279 * *
Pozerat sa musis ked ti tecu data nie hocikedy inak spojenie neuvidis.
A vypni si protokol IPv6 ak ho nepouzivas len to tam zbytocne strasi, v tych blbych 7 je to zapnute defaultne hoci sa to takmer nikde nepouziva.
hmm, teď jsem dal mezi pecko a Net router WR741N a problém zmizel...., není to ale pro mě řešení....protokol IPv6 jsem vypnul...
Zkus se podívat do SysLogu routeru, jestli náhodou nemáš nějaký DoS útok. Možná to tím nebude, ale vím o čem mluvím - já jsem kvůli tomu musel před časem změnit IP...
Kouknu, jak to poznám ?
Bude to tam napsané. Obvykle to bývá SYN-Flood (měl jsem já) nějakého magora (nebo jeho vejra) kdekoliv před i za ISP.
edit: Tak buď to router neumí (nepozná), nebo na tebe nikdo neútočí.
pokud dělám refresh, tak se mění akorát čas, výpis zůstane stejný - máš asi pravdu.... - zkusím na tom routru vypnout fw, uvidíme....
zkoušel jsem změnit i další nastavení v Advanced Security, ale v logu se objeví jenom potvrzení o změnách nastavení....
Takže vše je jinak - jak praví níže fleg, při útoku se jedná o příchozí data. Nevšimnul jsem si toho. Zkus si na test nainstalovat Sygate firewall, ten zobrazuje podrobnosti o každém trafficu.
zkusím....- hmm, pod sedmičkama nejede....
Pri syn-floode data pritekaju, on pise, ze data mu odtekaju, takze tudy cesta nevede.
Píšu to už potřetí - data mi do jdou do pecka, ne z něj !
Tak má mif přece jen recht
...
Tak sorry vcera vecer som uz bol asi nejaky zmoreny;o).
Prichadzajuce data by som vobec neriesil, boti vo vseobecnosti su nastaveny tak, ze prehladavju vcetky ip rozsahy, spravia sken a potom skusaju vsetky mozne utoky ako sa ti dostat do pc.
Preto mat verejnu ip adresu priamo na pc je imho blbost, urcite by som tam postavil router, resp ak uz trvas na pc tak potom riadne nastaveny firewall.
Inak nema zmysel prichadzajuce data vobec riesit, ja napriklad riesim utoky na servre cez ssh banom na par minut cez skript a viac sa nestaram. Podobne by som to riesil aj u teba alebo rovno defaultne vsetko zakazal okrem toho co priamo povolim.
tak, a poradíš mi, co a jak mám nastavit ?
Pre mna idealne a bezudrzbove riesenie je nasadit router. Ak potrebuje verejnu ip adresu nejaka aplikacia spravi sa portforwarding.
jo, je tam, teď ho ještě musím zašít někam za stůl, aby ta moje čaramůra nedržkovala, že zase mám nějaký bazmek, co žere proud.....
torrenty se zapnutým dht nepoužíváš?
v tcp view si zaškrni tlačítko vedle tlačítka A a pozoruj pouze aktivní procesy.
nikdy jsem je nepoužil....