|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
26-06-2007, 12.33.27 | #1 |
Junior Member
Registrato: 09-02-2007
Messaggi: 106
|
Traffico strano sulla LAN
vorrei sottoporvi un problemino. Abbiamo notato in azienda che ogni tanto la connessione ad Internet cadeva e quindi abbiamo deciso di chiamare il provider dei servizi internet per chiedere spiegazioni. Dopo vari test ci hanno inviato un log dal quale si evince un traffico non indifferente sulla portante ADSL. In particolare da un pc con Vista sono aperte circa un centinaio di porte con numeri alti (del tipo 49249 ecc.) che fanno traffico e che di tanto in tanto fanno collassare il router. Ora vi chiedo, come faccio ad avere un controllo su queste porte e a sapere cosa ci gira su? Posso in qualche modo chiudere le porte sospette? In che modo? Grazie a tutti. P.S. Vi allego il log del provider. |
26-06-2007, 12.45.31 | #2 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
PArtiamo dalle cose che mi sembrano OVVIE....
Mi sembra di capire che non c'è nessun firewall istallato sulla LAN, il che fa pensare che, nel 90% delle ipotesi, il pc in questione venga usato per scopi non proprio lavorativi, leggasi peer to peer... Se vuoi averne la conferma non ti resta che procedere analizzando i pacchetti che transitano in rete, ed ethereal in questo caso non ha rivali... Appurato ciò le soluzioni possono essere diverse ma, se fossi admin della lan io stesso non mancherei di fare queste cose. *) Istallazione di un bel firewall centralizzato, magari sul gateway della connessione, tipo Isa server o similari, in grado di autorizzare il traffico dove e come lo vuoi tu e per chi vuoi tu..... E già qui saresti in una botte di ferro.. *) CReazione di policy ad ok in grado di restringere ulteriormente cio che un utente può e non può fare sulla lan locale.... Non dai molte info sulla architettura della tua rete per cui mi sono limitato a fare una analisi in uno scenario Server/gateway + X Client collegati tramite "RRAS".... |
26-06-2007, 13.25.58 | #3 | |||||
Junior Member
Registrato: 09-02-2007
Messaggi: 106
|
Quota:
Quota:
Qui viene la mia domanda. Può essere che un programma per il peer-to-peer una volta disinstallato continui a far traffico sulla rete? Quota:
Quota:
Quota:
Adesso ti kiedo, sapresti darmi qualche consiglio in più avendo più chiare le idee? Grazie mille per la disponibilità. |
|||||
26-06-2007, 14.53.50 | #4 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
PArtirò con l'elencarti un paio di perplessità prima di procedere oltre....
*) Dici che hai un server che fa da DC ma che, per la maggior parte del tempo è spento. Perdonami ma non vedo il senso di una politica del genere dato che, proprio per la propria peculiarità, un Dc è fatto per amministrare un dominio e, oltre ad essere per la quasi totalità del tempo in funzione, i client dipendono proprio da esso e non vedo il perchè lo si debba spegnere. Comunque, i client lavorano connessi al dominio oppure lavorano in workgroup? *) Non escludere a priori programmi peer-to-peer seppure non istallati nei pc. Emule per esempio esiste in versione standalone, esegue il suo lavoro da una pennina e, una volta tolta essa, diventa pressochè impossibile rintracciarne eventuali attività se non con specifici accorgimenti! *) Torniamo al discorso ethereal... Istallato insieme a un plug-in di intercettazione di pacchetti specifico (non mi ricordo il nome ma mi sembra sia WinPcup) permette di fare delle analisi di massima del traffico presente in rete. Non conosco altri programmi proprio perchè mi sono sempre affidato ad esso. Qui c'è una piccola guida Ethereal Mi sembra di ricordare che anche Look@lan faccia qualcosa di simile ma non l'ho mai provato! *) Passiamo al discorso delle policy.. Ci sarebbe da scriverci un libro in merito anche perchè la cosa è alquanto soggettiva.... Come primo passo direi di istallare la console GPMC per gestire le policy, molto migliore di quella di AD; dopodichè non toccherei mai quelle di default di DC e individuerei per filo e per segno quelle che ritieni le linee guida per i tuoi client, dall'aspetto del pc alle restrizioni ecc... Un passo alla volta. GPMC *) Isa Server infine è un firewall software di alto livello, interamente configurabile e che mi sento di consigliare senza riserve a CHIUNQUE lavora in una LAN con Gateway e vuole tenere a "bada" i propri client. Passato un iniziale momento di apprendimento ti farà fare praticamente di tutto con i tuoi clients... Acnhe perchè di alternative similari ce ne sono veramente poche esclusi i firewall hardware dedicati --non quelli inclusi nei router però....-- (smoothwall è una alternativa) e di gratuite invece non me ne vengono proprio in mente! |
26-06-2007, 16.07.48 | #5 | |||
Junior Member
Registrato: 09-02-2007
Messaggi: 106
|
Quota:
Quota:
Quota:
|
|||
26-06-2007, 17.50.57 | #6 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Grazie per le puntuali delucidazioni....
Quello che mi viene attualmente in mente porta a due conclusioni, almeno per le mie modeste conoscenze: *) il pc in questione è affetta in qualche modo da malware che genera nel pc un continuo e massiccio uso della banda internet. Un "denial of service2 per entrare nel tecnico. Sarebbe opportuna una analisi specifica della macchina e del suo log hijackthis. *) Una applicazione "lecita" che, tentando il collegamento ad internet per X motivi satura la banda. Windowsupdate, l'update dell'antivirus e quant'altro di lecito mi può venire in mente anche se mi sembra un pò strano! Ecco che ethereal farebbe proprio al caso nostro (scusami se sono ripetitivo ma sarebbe la prima cosa che farei) per analizzare il traffico nel dettaglio! *) Puoi bloccare con un firewall (anche quello integrato in Vista purchè blocchi tutte le connessioni) le connessioni in uscita (TUTTE) e vedere tramite i nagscreen che apparirano quale applicativo si "lamenterà" e chiederà di accedere! |
27-06-2007, 14.32.37 | #7 | ||||
Junior Member
Registrato: 09-02-2007
Messaggi: 106
|
Quota:
Quota:
Quota:
Quota:
Mi sembri davvero molto ferrato nell'argomento. Ti terrò informato. Grazie mille per gli aiuti. |
||||
27-06-2007, 15.37.21 | #8 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Ti ringrazio per i complimenti ma leggendo il forum mi sento moooolto indietro rispetto alla gran parte degli utenti.
Se frequenterai spesso il sito ti accorgerai che qui c'è moltissimo da imparare. Veniamo a noi.... O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O16 - DPF: {036F8A56-0BC8-4607-8F98-D3231E6FF5ED} (CentraUpdaterAxCtl Class) - http://sym6.centra.com/SiteRoots/mai...aUpdaterAx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C741DB8A-268C-4A19-9914-EAC5AEBCE1AE}: NameServer = 212.17.192.49 A parte che hai moltissimi valori in esecuzione automatica dei quali puoi benissimo fare a meno e alleggerire la macchina, vedasi il gruppo Messeger, il gruppo Office, la windows sidebar, per citartene alcuni. Fixando le voci di quei gruppi non avresti alcuna controindicazione se non alleggerire la macchina. PArtiamo dai miei sospetti... *) Il primo, lo 01 per intenderci, non lo riconduco ad alcunchè di sensato.. REdireziona non so cosa sul localhost. Prova a vedere cosa c'è dentro ai files C:\Windows\system32\drivers\etc\hosts e localhost aprendoli con Notepad *) LA BHO fixala e vedi se dopo il riavvio del sistema ricompare.. Alcune attivita BHO sono da ricondurre ad alcunio virus anche conosciuti (alias Gromozon) *) LA voce 016 non so cosa possa essere. Se pensi faccia parte di un programma che hai istallato mantienila, altrimenti fixala e vedi se ricompare dopo il riavvio + nuovo log! *) la 017 SPERO sia l'indirizzo assegnato al tuo DNS altrimenti è una voce MOLTO SOSPETTA! Controlla i settaggi DNS con ipconfig /all alla voce DNS oppure controlla nelle proprietà TCP-IP della scheda di rete se è presente quel numero.... Attendiamo anche pareri più autorevoli magari! Dopodichè farei veramente la prova del Vista firewall, da lanciare da riga di comando tramite il comando wf.exe chiudendo TUTTE le connessioni! |
27-06-2007, 17.14.55 | #9 | ||||
Junior Member
Registrato: 09-02-2007
Messaggi: 106
|
Quota:
- ::1 localhost Per me è sospetto! Comunque vediamo cosa succede eliminando quella riga. Quota:
Quota:
Quota:
Per quanto riguarda i programmi in avvio automatico dall'msconfig non trovo nulla che abbia a che fare con l'Office o messenger. Comunque non è un grosso problema visto che si avvia molto velocemente anche con quelle applicaioni in automatico. Ho fatto una scansione con SUPERAntiSpyware che mi ha trovato già 8 elementi. Spero di risolvere questo spreco enorme di banda, altrimenti nel fine settimana mi vedrò costretto a piallare tutto. Ti ringrazio per i tuoi consigli veramente utili. Alla prossima |
||||
27-06-2007, 18.33.11 | #10 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Io farei una bella pulizia del file host lasciando solamente
127.0.0.1 localhost Idem il file lmhost semmai ci fosse anche qui qualcosa! Fixerei la relativa riga di hijackthis e procederei ad un riavvio + nuovo log per verificare che non si ripresenti nulla! Dai anche una occhiata ai servizi in esecuzione e magari dimmi se trovi qualcosa che ti insospettisce..... Il format?? No, questi sono i problemi che ti fanno crescere, fidati, con un format aggireresti il problema senza risolverlo (a meno di casi particolari....) Ultima modifica di Tecno214 : 27-06-2007 alle ore 18.38.00 |
27-06-2007, 19.07.05 | #11 | |
Junior Member
Registrato: 09-02-2007
Messaggi: 106
|
Quota:
Ho ripulito il file hosts e l'ho fixato successivamente. Ho rieseguito Hijack e non mi ha più riscontrato quella voce. In più ho bloccato tutte le connessioni in uscita e ho abilitato solo i programmi che mi interessavano senza utilizzare ISA . Prossimamente mi risentirò col provider per un ulteriore test e saprò dire di più. Grazie ancora per tutto l'aiuto. |
|
28-06-2007, 10.05.17 | #12 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Figurati....
Tienici informati degli sviluppi! |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Mi servono chiarimenti sulla legge sulla privacy | bubba | Sicurezza&Privacy | 6 | 24-10-2013 15.00.01 |
Hd con uno strano comportamento | fisiologohifi | Hardware e Overclock | 2 | 16-03-2009 17.28.34 |
[XP] comportamento strano "Collegamenti" sulla taskbar | Thor | Windows 7/Vista/XP/ 2003 | 3 | 22-04-2008 13.11.40 |
il pc si blocca ed emette uno strano suono | fisiologohifi | Hardware e Overclock | 5 | 22-10-2006 19.32.26 |
Uno strano numero di telefono! | Flying Luka | Chiacchiere in libertà | 20 | 10-10-2006 17.26.36 |