Jump to content

Вируси и безжични мрежи


Тодор Лазаров

Recommended Posts

Вчера пуснах ново AP. Сигнала към клиентите /основно Ovislink, Edimax/ е добър от 30-50%.

Всичко тръгна добре, но в един момент пинговете към клиентите литнаша /от 200-300мс/.

Огледаш AP-to /Nanostation2/ ефира не беше зашумен, сигналите бяха същите. Пуснах и изолация между клиентите /дане би да има много broadcast traffic/, но пак същата работа.

Тогава пуснаш torch на роутера който ги посреща. И какво се оказа. От една станция върви доста интересен трафик / port 135 /

Спрях този клиент и всичко се оправи.

Намирисва ми на прословутия червей W32.Blaster.Worm:

"The denial of service attack traffic will have the following characteristics:

SYN flood with a destination port of 80.

50 HTTP packets per second.

Packets are 40 bytes in length.

If it is unable to locate a DNS entry for windowsupdate.com it will use a destination address of 255.255.255.255. It is important to note that Microsoft has removed DNS records for windowsupdate.com.

The packets will also have the following characteristics:"

Та въпроса ми е как процедирате в такива случай ???

Link to comment
Share on other sites

Задължително на бордер рутера трябва да ги филтрираш тия "рискови" портове. С цел да не могат да "влизат" такъв род вируси.

Въпреки това не е невъзможно клиента да си се зарази по други пътища.Затова аз бях добавил няколко реда във firerwall-a на клиентските микротикове.

Накратко идеята е - ако клиента изпраща пакети към тия "рискови" портове се предполага, че е заразен и ИП-то му се добавя в един address list.Който после мога да прегледам.

Наскоро имах друг случай - от много ИП-та от света атака към 1 ИП адрес от моята мрежа по портове 8345,45195.

За нещастие това ИП-беше клиент зад радио и въпреки, че е сносен линк с микротикове на 5 гхз, линка се лагваше на 300-500 ms.

Доста зор ми даде докато открия.Но сега и тия портове съм добавил като филтрирани в бордера, независимо че търсенето ми за такива вируси не даде резултат.

Link to comment
Share on other sites

  • Administrator

добър тест за вифи линковете :)

Не отговарям на постове написани с шльокавица!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.