Добрый день,
Есть локальная сеть на 30 компьютеров, в качестве шлюза используется роутер Keenetic Extra II. Последний месяц стал звонить провайдер и предупреждать, что с нашего ip периодически идет DDOS атака. Провайдер дает данные о времени атаки и все.
Компьютеры в локальной сети я проверил CureIT на вирусы, но проблемы это не решило.
Есть ли какой то способ отследить по логам роутера с какого конкретно устройства шла атака?
У кинетика неплохая собственная статистика имеется
можно в нее потыкать в веб морде
так же удаленно через приложения my.keenetic и keenetic можно мониторить список соединений и количество трафика по ним
еще не мешает обновить кинетик до последней версии
возможно непосредственно он сам участвует в атаках типа ntp или dns amplification
- это провайдерский бред, если не опечатка. Хоть бы просто DoS сказали - можно было поверить. Ну и без уточнения адреса жертвы атаки вам будет сложновато отслеживать. Всё-таки попросите провайдера уточнить.
hint000, Ну почему же бред? Если компьютер является участником ботнета - это DDoS.
Хотя правильнее говорить не "идет DDoS атака" , а участвует в DDoS атаке.
АртемЪ, если идёт DDoS, то было бы логично, чтобы каждый участник генерировал не очень большой трафик, как раз чтобы никого конкретно нельзя было уличить в участии. Трафик похож на легитимный, хрен отличишь. Конечно, это не обязательно, но это было бы рациональным поведением для атакующей стороны.
hint000, Ну провайдер может либо сам определить паразитный трафик - если он достаточно заметный, либо ему может кто-то пожаловаться, что с его адресов идет атака.
А так даже при распределенной атаке зачастую идет вполне заметный трафик с одного хоста.
Для комментирования ответа жмите линк "Комментировать" под ответом
Не нужно писать комментарий в форме для ответа
Оповещения о такой реплике не поступит автору ответа
Не нужно засорять секцию ответов "спасибовсем", "решено" и тп
с вашей задачей справится любой сниффер, но есть конкретная программа, которая бесплатна для малых сетей, отечественная, назначение - тотальный контроль трафика локальных сетей, в том числе есть и функции снифера.. беда в том, что не могу вспомнить название, давно не имел в ней нужды, простите )).. вспомню - стукну дополнительно
Если кому интересно нашел решение но немного с другой стороны так сказать.
После общения с провайдером удалось выяснить какие порты обзваниваются и сделать выводы что искали медиа порты под видео каналы. Т.Е, прозванивали белые IP и искали видео-регистраторы/камеры без защиты которые можно позырить. Ну а дальше планомерный перебор у кого что стоит на компах под видом планового ТО и нахождение виновника.