giorgino87
29-07-2011, 17:50
salve a tutti,
è dalla mattina del 26 che sulla mia rete c'è del traffico sospetto. La mattina del 27, a partire dalle 7, tutta la banda di upload era saturata (400Kbps). Alle 13 sono intervenuto personalmente (prima non potevo) e interrompendo un servizio alla volta, alla fine ho interrotto tale utilizzo della banda. I mapping statici che ho dovuto interrompere sul server di routing per riuscire in ciò sono quelli del centralino software per il VOIP, quindi porte 5060 TCP/UDP, 5090 TCP e 9000-9003 UDP. Tuttavia, oltre a questo traffico in upload, che impediva la navigazione in tutta la rete perchè saturava la banda in up, c'è un altro traffico, in download, di 500kbps, fisso, molto sospetto. Tale traffico non c'è mai stato abitalmente (solitamente nei periodi porti al max era 50kbps). Guardando le statistiche del server di routing mi sono convinto che tale traffico è generato proprio da server di routing stesso, in quanto i 500Kbps che entrano dall'interfaccia di rete esterna non sono controbilanciati nemmeno lontanemente dal traffico inviato sull'interfaccia interna, in più ho provato a interrompere proprio tutti i servizi di routing (quindi la rete interna non faceva punto traffico) ma il traffico di 500Kbps in eccesso è rimasto.
Come faccio a capire dove è diretto questo cavaolo di traffico, e da che applicazione è generato? non vorrei aver preso qualche trojan o altra schifezza (mi sono anche accorto che il server che aggironava le definizioni dei virus non funzionava dal 16 luglio, quindi le definizioni erano vecchie di 10 giorni...). Il server di routing gira windows 2008 R2
è dalla mattina del 26 che sulla mia rete c'è del traffico sospetto. La mattina del 27, a partire dalle 7, tutta la banda di upload era saturata (400Kbps). Alle 13 sono intervenuto personalmente (prima non potevo) e interrompendo un servizio alla volta, alla fine ho interrotto tale utilizzo della banda. I mapping statici che ho dovuto interrompere sul server di routing per riuscire in ciò sono quelli del centralino software per il VOIP, quindi porte 5060 TCP/UDP, 5090 TCP e 9000-9003 UDP. Tuttavia, oltre a questo traffico in upload, che impediva la navigazione in tutta la rete perchè saturava la banda in up, c'è un altro traffico, in download, di 500kbps, fisso, molto sospetto. Tale traffico non c'è mai stato abitalmente (solitamente nei periodi porti al max era 50kbps). Guardando le statistiche del server di routing mi sono convinto che tale traffico è generato proprio da server di routing stesso, in quanto i 500Kbps che entrano dall'interfaccia di rete esterna non sono controbilanciati nemmeno lontanemente dal traffico inviato sull'interfaccia interna, in più ho provato a interrompere proprio tutti i servizi di routing (quindi la rete interna non faceva punto traffico) ma il traffico di 500Kbps in eccesso è rimasto.
Come faccio a capire dove è diretto questo cavaolo di traffico, e da che applicazione è generato? non vorrei aver preso qualche trojan o altra schifezza (mi sono anche accorto che il server che aggironava le definizioni dei virus non funzionava dal 16 luglio, quindi le definizioni erano vecchie di 10 giorni...). Il server di routing gira windows 2008 R2