Trafego estranho dentro da rede!!
Fala galera, blz?!
nao vo tenta explica vo manda os dumps
17:18:25.083669 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:25.084131 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:25.833283 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:25.834152 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
ele aparece mais vezes saindo da maquina eh nao para eh constante de 1 em 1 min ele eh enviado e de 10 em 10 + ou - qndo do um tcpdump -vvv host 192.168.0.200 ele me diz isso:
771297 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
TrnID=0xCBDE
OpCode=0
NmFlags=0x11
Rcode=0
QueryCount=1
AnswerCount=0
AuthorityCount=0
AddressRecCount=0
QuestionRecords:
Name=JOCKER NameType=0x00 (Workstation)
QuestionType=0x20
QuestionClass=0x1
(ttl 128, id 40922, len 7<IMG SRC="images/forum/icons/icon_cool.gif">
alguem ai sabe oque eh isso?
detalhe essa maquina JOCKER nao existe na rede!!!
Valeu rapaziada qq ajuda eu agradeco!!!!!
Trafego estranho dentro da rede!!
Uma vez eu vi um caso parecido com o seu. ea soluçao foi fechar a entrada dos pacotes que vem pela internet e so permitir os que sao criados internamente
A Marcio
Trafego estranho dentro da rede!!
Certo, mas isso nao solucionaria o problema dele, pois o pacote esta originando da mesma rede.
Maquinas windows adoram mandar broadcast, parecem num sei oq ...
sinceramente, verifique onde esta essa maquina .200 , seja usando smbstatus ou qualquer outra artimanha para voce ter uma nocao de onde a mesma esta, uma saida seria ver o MAC da placa e entao ver onde ela esta, mas isso eh tao dificil pois sao rarissimas pessoas que tem isso documentado... eu pelo menos nao tenho hehe <IMG SRC="images/forum/icons/icon_smile.gif">
Procure a tal maquina, seu ambiente de rede nao deve ter mais do que 254 maquinas nao ? (hehe)
Trafego estranho dentro da rede!!
entao eu sei qual eh a maquina eu fui ate eh tirei alguns programas da key RUN do windows eh parece que esta normal agora achei alguns arquivos em algumas maquinas chamados _wwtask.exe que tem um icone mto feio imitando icone de aplicativo sem icone manja? bom eu sei q eh um trojan mais ainda nao consegui descobri qual eh... o estranho q essa maquina .200 nao tinha esse trojan... bom sei la... mas valeu atencao!!!!!!!!
