Локальный снифер #177

Народ привет! Может кто сталкивался с такой проблемой. Стоит локальная сеть компов 40. Сеть доменная. Кто то стал постояно валить DNS сервер. Ставим на сервер сетевой монитор и наблюдаем сетевую активность. Монитор показывает что с тачки ип 192.168.1.110 на 445 порт через разные промежутки времени валяться какие то пакеты. Сбор и просмотр пакетов ни чего не показал все пакеты абсолютно разные ничего кроме заголовка в них одинакового нет. После визуального осмотра на машину 192.168.1.110 ставиться куча антивирусов и прочей шняги для выявления заразы. Сканирование и визуальный осомтр системы ни хрена не дал. После чего на эту же тачку поставили сетевой монитор. Так он тоже показал что у машинке не сетевой активности когда сервер от ее имени пришла куча пакетов. Мистика! Или что. Локалка доступ в инет не имеет. На всех машинках локалки стоит вин2000 про, серверор рулит 2000 сервер. Пользователи конкретные звери, так что шняга типа подмена заголовка пакета ни канает. Вопрос идти в церковь или нет.

Наверное какая-то программа использует svchost для общения с внешним миром. Самый невероятный случай, что кто-то подставил эту машину, поменяв ip в заголовке пакета. Проверяет вашу бдительность, смотрит вашу реакцию. Сейчас вы привыкните, а затем последует атака. Типичный прием взломщиков.

Волшебник говорю что пользователи конкретные ламо. Замена заголовка не идет. Сегодня ночью было включено всего три машинки сервер, моя и подозреваемая. Результат тоже. Причем всплыло еще одно. Когдато давно года два назад на сервере стоял на вин нт у него ип был 192.168.20.1 так вот при внимательном изучении пакетов точнее их заголовков нашлосшь что 192.168.1.110 ищет еще и этот сервак.

Если есть возможность попробуй выследить с какой машины идут пакеты, простейший метод, если на сервере стоит монитор: отключать от сети по одной машине и следить за монитором. Проблема в другом если это вирус или хакерская атака из нутри надо проверять все (ВСЕ!!!) машины и желательно так, что-бы об этом никто даже и не подозревал.

(получил с задержкой) исходя из этого в добавление к можешь исключить из подозреваемых машины на которых состема ставилась, после снятого НТ. Что-то подобное у меня было, когда на серваке НТ создовали 2-й домен а потом его убили, а машина с 2000про настроенная на убитый домен потом долго его искала.

Полностью согласен с : у меня в сети тоже идут тасы пакетов на несуществующий сервак. Я в целях эксперимента установил сервер2003, а потом вывел его из сети, так реальный контроллер домена до сих пор о нем скучает, все время опросы кидает на его айпишник, а пользовательские системы по 2000 и ХР пришлось переустанавливать, т.к. они также частенько обращались к убитому серваку (хотя он даже не контроллером, а только файл-сервером). И еще проблема возникла в том, что он прописался в ДНС, а удалить его не могу, выдает ошибку.  ВООБЩЕМ - убей систему, установи свежую и забудь о таких мелочах.

Убить систему это самое простое. В чем заключается "валит DNS", удаляются записи или еще что то? Попробуй исключить проблемную машину из домена, удалить все записи на серваке,прописаить все заново. Да и еще, сеть как я понял, к инету не подключена, тогда откуда могет быть хакерская атака, когда физического подключения нет. может быть только какой нить троян, либо шпиенский модуль,попавший с компакта или дискеты

Что значит [удалить все записи на серваке,прописаить все заново], какие записи и что прописать ? Если все записи (DNS, WINS, AD и т.д.), то это работа минимум на неделю и при чем никакой гарантии, что все станет работать корректно. А систему убить надо на юзверской машине, т.к. в еще в бытность старого сервера у нее прописались данные этого сервера. Хотя может найдется спец, который знает где они прописываются в NT системах.

Удалить все учетные записи только этой машины

+ Чтобы убить данные старого сервера достаточно машину с 2000 или ХР вывести их домена,перегрузить и поновой присоединить к домену

В принципе согласен, т.к. придется перерегистрировать юзверскую машину в сети, может это отучит ее искать AD на другом айпишнике. Хотя в этом есть большие сомнения. И еще остался открытым вопрос: что значит "валит DNS"? Какие симптомы?

при установке любого файрвала 445 порт по UDP закрыт по умолчанию,насколько я помню это сваязано с сетевыми червяками и шпиенскими модулями (ИМХО)

А зачем ему файрвол, если нет выходя в Инет и есть антивирус.

Я так думаю что это какой-то червяк, а файервол можно влепить и посмотреть что ломится на машину, ну и если лень бороться можно запретить это приложение, правда это для больших лентяев

Валит DNS - на свервак поступает туевва куча пакетов после чего он успешно зависает. пакеты перед смертью приходят на 53 порт по udp протоколу поэнтому и было выдвинуто предположение что это валит dns. Вполне может быть что убивающий пакет приходит кудато на другой порт но машина не успевает зафиксировать пакет убившие ее незнаю. Теперь картина ночью сегодня стояло три машины 192.168.1.1 - сервер 192.168.1.101 - мой 192.168.1.110 - подозреваемый на всех трех стояли стояли средства сетевого мониторинга поставляемый с windows 2000 server дополнительно (ставятся отдельно диск с пометкой resourse cd) 192.168.1.101 192.168.1.110 показывали обычную сетевую активность нет те отправится dns запрос netbios проскакивает короче все в пределах нормы. 192.168.1.1 прогибается от пакетов полученных от 192.168.1.110 на порт 445 по протоколу TCP и умирает от туевой кучи пакетов полученных с машины 192.168.1.110 на порт 53 по протоколу UDP. нет нет на серваке пролетает пакет от 127.0.0.1 на 192.168.20.1 на 137 порт, ни 192.168.1.101 ни 192.168.1.110 его не фиксируют. Народ не сочтите дураком сказав что 127.0.0.1 это local host. Откуда local host знает об 198.168.20.1 если это был его ип пока на нем стояла win nt. 2000 ставилась на чистый винт после его форматирования. Короче из всего вытекает что проблема скорее всего в 192.168.1.110 но вчем и как непонятно. На вирус проверялось dr web 4.30 c 16 дополнением. Также искали трояна с помощью ad-aware 6.0 обновленным на 22.11.2003. Убивать ту машины не хочеться она дизайнера там софта больше чем грязи по весне. все это назад ставить один гемор. Мне было бы по фиг если он напрягал бы сеть тем более там по мониторингу ресурсов еще хватает но же сволочь валит сервер. А что и как полная тьма.

53 порт = это DNS 445 порт по TCP это MICROSOFT_DS По всей видимости у тебя DNS неработает или неправильно настроен (ИМХО)

Вот нашел кое-что Значение по умолчанию LANMAN настроек системного реестра в Windows 2000 позволяет злонамеренному пользователю, с доступом к 445 TCP порту, вызывать отказ в обслуживании. Посылка уродливых пакетов (10к NULL символов) к порту Microsoft-ds (TCP 445) может приводить к нарушению работы ядра (синему экрану или к 100% загрузки процессора). Для устранения проблемы нужно отключить службу NetBIOS over TCP/IP, или добавить параметр MaxWorkItems в HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServer, равным 256, для компьютеров с менее 512 Мб памяти, 512 для компьютеров с памятью от 512 до 2 Гб и 1024 для компьютеров, у которых память более 2 гигабайт. Уязвимость найдена в Microsoft Windows 2000sp0-sp2

135/TCP DCE endpoint resolution 445/TCP Microsoft-DS Порты используются при обнаружени и подключении к общим сетевым ресурсам в сетях Microsoft. (От себя: закрываются только при полном отключении службы Клиент для сетей Microsoft кажется. Но тогда тебя и ты никто/никого в сети не увидишь)

Я сделал вывод что на проблемной машине у тебя SP не стоит

windows 2000 server сборка 5.00.2195 service pack 4

с DNS возможно ты и прав всегда в этом деле полагался на виндовс и много не лазил. токомо у меня не 135 а 137 энто NetBios Name Service. Но нетбиос поверх тсп убить нельзя на паре машин стоит винда 98 в силу их древности все машинки используют общие ресурсы в основном принтеры, но и в некоторых группах и общие файлы.

Пара риторических замечаний: 1.Как ведет себя сервер если от сети отключить все машины? Может в нем что-то уже засело. 2./она дизайнера там софта больше чем грязи по весне/- если знаешь точно дату появления проблемы и на 1 можешь твердо ответить что сервер чист. Пошерсти эту машинку на предмет установленого ПО, вполне возможно даже благонадежная програмка может выкидывать различные фортеля.

это замечание от Мелкомягких В локальной сети DNS надо настраивать ручками, а не полагаться на винду. если есть желание могу сброить тех обзор от MS по настройке AD и DNS на русском яз.

При выключении машиок сервер ведет себя воще глухо. Причем достаточно отключить 192.168.1.110 и активность умирает. Но это не дает гарантии жизни сервака. Потому что он умирает не предсказуемо. Вот хроинка смерти сервака 18.11.2003 в 12.30 19.11.2003 в 13.21 24.11.2003 в 10.45 ни логики ни периода. Дизайнер божиться и клянется что ничего нового из совта за последний месяц два не ставил. То есть то что валит сервер не выеснено а как это выяснить :( У меня уже чердак рвет какой бред я только не перепробавал бестолку и все не могу вычлить гада. а гад конкретный это факт. Черт, конечно есть. заранее спасибо!

О такой смерти сервака говорит то, что есть какая -то проблема с железом(память, винт(ы)).Потесть память прогой testmem (рекомендую)

народ тут один чел подсказывает что все может бытть в железке. То есть сетевуха работает вроде нормально но при определеных условиях зависает. точнее зависает драйвер для нее. типа как на видюхах с битой памятью работает пока драйвер не проц не попытается считать данные из битого участка памяти. могет не могет

олег мануал получил спасибо!

С сетевухами такого ниразу не встречал, а вот с драйверами от матери для IDE такое бывало

skunk помогло, ли тебе что-нибуть из предложенного? Ночью у меня возник один вопросик, если активность наблюдается только на сервере, а на остальных машинах глухо, то пакеты могут возникать только: а) с самого сервера - вариант по твоим словам проверенный. б) из сетевых устроиств типа интелектуальных свитчей или концентраторов (если они у тебя есть). в) сетевых плат выключенных компов. Обосную этот вариант: большинство современных сет.карт не выключаются даже при выключенном компе (только если полностью выдернуть шнур питания), кроме того некоторые сетевухи оснащены спец системами для оптимизации работы сети с аналогичными картами, и эти навороты могут отрицательно сказываться на работе сети (где-то пробегала проблема когда в сети установили одну такую карта и дали ей разрешение в параметрах использовать эти возможности, в результате сеть заваливалась под пакетами которые рассылала данная карточка в поиске себе подобных).

Народ спасибо за промощь! Кои какие проблемы были решены. Ждем когда умрет сервер если он умрет окончательно. 1. Прорблема с пакетами от 192.168.1.110 думаю от драйверов к принтеру Canon LPB-810. На всех остальных машинках я ставил их сам поэтому в реестре вычищал параметр автозагрузки в для локальной машины. секция run ключа HKEY_LOCAL. (Дизайнер не ставил софт он поставил принтер) Пока флуда нет. 2. Проблема 192.168.20.1 сам тупой везде убрал а у себя на машинке забыл. У нас раньше wins сервер был тот же что и dns вот моя машинка его и искала. 3. Так что осталось выяснить почему сдыхал сервер, но склонен к тому что это железка. Правда в железе бум придется когонибудь потягивать. Если найдем почему сдох сообщим.