В петък ми се случи нещо което не бях го виждал никога. Проблема се прояви към 13 часа след обяд след като потребителите започнаха да ми звънят че компютрите им работят изключително бавно, мудно и че нямат интернет. Казах си това е единичен случай и сигурно има вирус или нещо подобно но след като ми се обади 5 пореден потребител си казах че става нещо. Първата ми работа беше да вляза в Микротика RB750 ( мрежата е от около 50 компютъра) с Winbox но не успях. После пуснах пинг към микротика и видят че има много загуби и времената бяха около 120ms. Опитах с Putty -telnet влязох с 300 зора и забелязах че Микротика работи на 100% визирам CPU-то. Проверих кое заема толкова много ресурси и установих че е firewall-а. Изключих всички правила от firewalla но проблема продължаи. Видях че има някакъв странен трафик upload (в порядъка на 2 мегабита) от всички компютри в мрежата към микротика . Всички компютри в мрежата работеха на 98% натоварване на процесора. Изваждам кабела за нета от произволен компютър в мрежата и натоварването пада на нормалното. Сканирах за вируси с Norton Antvirus но той показа че няма вируси. С команда torch в микротика забелязах че има странни IP та във вътрешната мрежа подобни на 169.111.232.233. В ip-dhcp-alerts в микротика добавих валидния сървър и се установи че в мрежата има друг dhcp който раздава ip-та. Виждах мак адреса на сървъра но не знаех къде е в мрежата !!???. След половин час размисли се сетих че в мрежата на едно място бях поставил TP-LINK 740N за безжичен интернет на една зала. Отидох да проверя въпросния ТП-ЛИНК и видях от долната му страна че мак адреса съответства на мак адреса който ми показваше в микротика като конфликт. Включих тп-линка към лаптоп и видях че всички настройки са си наред но нещо го беше провокирало да раздава на WAN порта си ip-та (което не е нормално) и по някакъв начин да провокира всички !! компютри в мрежата да генерират трафик към микротика и всичко да се бави да забива и да няма и интернет. Изкарвам кабела от WAN порта всичко се оправя вкарвам всичко се срива УНИКАЛНО ПРОСТО. След 30 минути тестове установих как мога да го провокирам въпросния тп-линк да го прави това нещо но няма да го споделя тук поради съображения против злонамерени хора. Мисля си ами ако мрежата е по голяма да кажем от порядъка на 200 компютъра в един квартал примерно как ще може да се диагностира и да се намери въпросния потребител който примерно да го е направил нарочно ??. Реших да го споделя за да се знае. И от кога им пиша на тези от Микротик да направят отделен таб на пппое връзките да има регистър на мак адресите от които е влизал въпросния потребител (подобно на ip -hotspot- cookies).
Question
msboy
В петък ми се случи нещо което не бях го виждал никога. Проблема се прояви към 13 часа след обяд след като потребителите започнаха да ми звънят че компютрите им работят изключително бавно, мудно и че нямат интернет. Казах си това е единичен случай и сигурно има вирус или нещо подобно но след като ми се обади 5 пореден потребител си казах че става нещо. Първата ми работа беше да вляза в Микротика RB750 ( мрежата е от около 50 компютъра) с Winbox но не успях. После пуснах пинг към микротика и видят че има много загуби и времената бяха около 120ms. Опитах с Putty -telnet влязох с 300 зора и забелязах че Микротика работи на 100% визирам CPU-то. Проверих кое заема толкова много ресурси и установих че е firewall-а. Изключих всички правила от firewalla но проблема продължаи. Видях че има някакъв странен трафик upload (в порядъка на 2 мегабита) от всички компютри в мрежата към микротика . Всички компютри в мрежата работеха на 98% натоварване на процесора. Изваждам кабела за нета от произволен компютър в мрежата и натоварването пада на нормалното. Сканирах за вируси с Norton Antvirus но той показа че няма вируси. С команда torch в микротика забелязах че има странни IP та във вътрешната мрежа подобни на 169.111.232.233. В ip-dhcp-alerts в микротика добавих валидния сървър и се установи че в мрежата има друг dhcp който раздава ip-та. Виждах мак адреса на сървъра но не знаех къде е в мрежата !!???. След половин час размисли се сетих че в мрежата на едно място бях поставил TP-LINK 740N за безжичен интернет на една зала. Отидох да проверя въпросния ТП-ЛИНК и видях от долната му страна че мак адреса съответства на мак адреса който ми показваше в микротика като конфликт. Включих тп-линка към лаптоп и видях че всички настройки са си наред но нещо го беше провокирало да раздава на WAN порта си ip-та (което не е нормално) и по някакъв начин да провокира всички !! компютри в мрежата да генерират трафик към микротика и всичко да се бави да забива и да няма и интернет. Изкарвам кабела от WAN порта всичко се оправя вкарвам всичко се срива УНИКАЛНО ПРОСТО. След 30 минути тестове установих как мога да го провокирам въпросния тп-линк да го прави това нещо но няма да го споделя тук поради съображения против злонамерени хора. Мисля си ами ако мрежата е по голяма да кажем от порядъка на 200 компютъра в един квартал примерно как ще може да се диагностира и да се намери въпросния потребител който примерно да го е направил нарочно ??. Реших да го споделя за да се знае. И от кога им пиша на тези от Микротик да направят отделен таб на пппое връзките да има регистър на мак адресите от които е влизал въпросния потребител (подобно на ip -hotspot- cookies).
Link to comment
Share on other sites
4 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now