Как поймать источник сотен тысяч исходящих соединений, направленных на шлюз и на внешние адреса интернета?
Здравствуйте, прошу совета. В сети есть один компьютер, который периодически с взрывной силой начинает генерировать исходящие UDP сессии на шлюз и на адреса поисковых систем, провайдеров, хостеров. Сислог насчитал в последний раз за 4 минуты около 800000 сессий.
Человек - СЕОшник, использовал всякие тулзы типа SEO Smart Tools и прочие, всё снесли, отключали все плагины в браузере.
На компе стоит KIS 2016, проверяли avz, gmer, kaspersky rescue disk, kaspersky removal tool.
Нашелся только Net-Worm.Win32.Kido, но под нашу ситуацию он не подходит.
Самое интересное, что поставили ему другой комп, и как только открывалась мозилла, сессии сразу начинали сыпаться.
Поставили ему вивальди, тишина была несколько дней, но всё опять вернулось, хоть и не так часто валится.
Искать другого виновника. Очень похоже что не там ищете.
UDP легко подделать и отправить с битым\чужим src-ip
Искать нужно по MAC, сегментам сети, портам на свичах и нагрузкам на сетевых картах исходных ПК.
ну mac в пакете тоже легко подделать, если свичи не управляемые, они не заметят. Ловите нагрузку на портах. Временно изолируйте "подозреваемый" комп в другой порт, с пристальным наблюдением.
nexthop: в них можно увидеть arp таблицы, в них есть защита от arp спуфинга и подмены mac. Не управляемые если и заметят это - ничего сказать не смогут.
Средний
