traffico di rete sospetto

giorgino87 · 29-07-2011, 17:50

salve a tutti,
è dalla mattina del 26 che sulla mia rete c'è del traffico sospetto. La mattina del 27, a partire dalle 7, tutta la banda di upload era saturata (400Kbps). Alle 13 sono intervenuto personalmente (prima non potevo) e interrompendo un servizio alla volta, alla fine ho interrotto tale utilizzo della banda. I mapping statici che ho dovuto interrompere sul server di routing per riuscire in ciò sono quelli del centralino software per il VOIP, quindi porte 5060 TCP/UDP, 5090 TCP e 9000-9003 UDP. Tuttavia, oltre a questo traffico in upload, che impediva la navigazione in tutta la rete perchè saturava la banda in up, c'è un altro traffico, in download, di 500kbps, fisso, molto sospetto. Tale traffico non c'è mai stato abitalmente (solitamente nei periodi porti al max era 50kbps). Guardando le statistiche del server di routing mi sono convinto che tale traffico è generato proprio da server di routing stesso, in quanto i 500Kbps che entrano dall'interfaccia di rete esterna non sono controbilanciati nemmeno lontanemente dal traffico inviato sull'interfaccia interna, in più ho provato a interrompere proprio tutti i servizi di routing (quindi la rete interna non faceva punto traffico) ma il traffico di 500Kbps in eccesso è rimasto.

Come faccio a capire dove è diretto questo cavaolo di traffico, e da che applicazione è generato? non vorrei aver preso qualche trojan o altra schifezza (mi sono anche accorto che il server che aggironava le definizioni dei virus non funzionava dal 16 luglio, quindi le definizioni erano vecchie di 10 giorni...). Il server di routing gira windows 2008 R2

stepvr · 29-07-2011, 20:29

TCPView qui.
Ti dice dove e' connesso e con quali applicazioni/servizi.

nuovoUtente86 · 29-07-2011, 21:09

innanzitutto gli ip di tale traffico cosa dicono?

29-07-2011, 17:50	#1
giorgino87 Member Iscritto dal: Dec 2009 Città: Melbourne Messaggi: 197	traffico di rete sospetto salve a tutti, è dalla mattina del 26 che sulla mia rete c'è del traffico sospetto. La mattina del 27, a partire dalle 7, tutta la banda di upload era saturata (400Kbps). Alle 13 sono intervenuto personalmente (prima non potevo) e interrompendo un servizio alla volta, alla fine ho interrotto tale utilizzo della banda. I mapping statici che ho dovuto interrompere sul server di routing per riuscire in ciò sono quelli del centralino software per il VOIP, quindi porte 5060 TCP/UDP, 5090 TCP e 9000-9003 UDP. Tuttavia, oltre a questo traffico in upload, che impediva la navigazione in tutta la rete perchè saturava la banda in up, c'è un altro traffico, in download, di 500kbps, fisso, molto sospetto. Tale traffico non c'è mai stato abitalmente (solitamente nei periodi porti al max era 50kbps). Guardando le statistiche del server di routing mi sono convinto che tale traffico è generato proprio da server di routing stesso, in quanto i 500Kbps che entrano dall'interfaccia di rete esterna non sono controbilanciati nemmeno lontanemente dal traffico inviato sull'interfaccia interna, in più ho provato a interrompere proprio tutti i servizi di routing (quindi la rete interna non faceva punto traffico) ma il traffico di 500Kbps in eccesso è rimasto. Come faccio a capire dove è diretto questo cavaolo di traffico, e da che applicazione è generato? non vorrei aver preso qualche trojan o altra schifezza (mi sono anche accorto che il server che aggironava le definizioni dei virus non funzionava dal 16 luglio, quindi le definizioni erano vecchie di 10 giorni...). Il server di routing gira windows 2008 R2 Ultima modifica di giorgino87 : 29-07-2011 alle 18:08.

29-07-2011, 20:29	#2
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	TCPView qui. Ti dice dove e' connesso e con quali applicazioni/servizi. Ultima modifica di stepvr : 29-07-2011 alle 21:36.

29-07-2011, 21:09	#3
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	innanzitutto gli ip di tale traffico cosa dicono?

Strumenti
Mostra una versione stampabile Invia questa pagina per email