+ Responder ao Tópico



  1. #1

    Padrão Upload louco para ip 74.54.58.77

    Um cliente hoje toda vez que se logou, estabeleceu uma conexão pela porta udp do ip do cliente para a porta 80 do ip 74.54.58.77. O upload máximo setado pra ele é 40k e na queue tree fica mostrando os 40k! Só que na aba interfaces o upload dele fica em 512kbps!! Tentei dropar de todo jeito e não consegui!

    Alguem já viu isso!???

    Tentei dropar todo o trafego para esse ip e o contador de drops tava lá crescendo e mesmo assim o upload continuava!!!

    Cruel demais!

    Tive que desconectar o cliente!!

    Tentei colocar em anexo uma figura com o acontecido!
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         uploaddoido.JPG
Visualizações:	103
Tamanho: 	230,7 KB
ID:      	2606  
    Última edição por ZeXP; 19-08-2008 às 20:01.

  2. #2

    Padrão

    Amigo, com certeza e virus, tive o mesmo problema aqui mes passado, va na casa do cliente e passa um antivirius, de preferencia o kaspersky foi o que consegui resolver, ou entao formate, se os colegas do forum tiverem como barrar isso no firewall e puder passa, ficamos agradecidos.



  3. #3

    Padrão

    Jah tentou dropar os pacotes UDP ??? Vc já viu em que porta que o cliente esta subindo esse upload ???

  4. #4

    Padrão

    Esta parecendo ARES P2P, dropa ele para testar.



  5. #5

    Padrão ...

    Ola, hj me deparei com um cliente aqui com esse mesmo problema, ele tava sem acesso, quando monitorei a conexao dele, tava passando tudo que o AP podia suportar so pra esse ip (74.54.58.77).

    Tentei dropar pelo firewall de todas as formas e não obtive exito, a forma (gambiarra) foi limitar a 1k toda conexão (0.0.0.0/0) para o ip 74.54.58.77 via controle de banda direto no AP.

    Agora sem "aperreio" vou procurar a solução para esse problema.

    ate +

  6. #6

    Padrão

    Citação Postado originalmente por admskill Ver Post
    Jah tentou dropar os pacotes UDP ??? Vc já viu em que porta que o cliente esta subindo esse upload ???

    A porta era 1102 UDP para a porta 80, ai tentei dropar a porta dai ele muda automaticamente de porta! Tentei dropar toda udp menos a 53 e ele se mantinha firme e forte!! É o cão chupando manga isse negócio!!

    A solução foi bloquear o cliente e informá-lo do problema!



  7. #7

    Padrão

    Na rede aqui ocorreu esse mesmo problema, estavam enviando pacotes com flag SYN para este IP, porém enviava pela porta 2898 e depois que bloqueei essa porta no firewall passou a enviar pela porta 1676.
    Solução: Fiquei monitorando a porta 1676 no firewall e vi o IP de origem dos pacotes. Era uma máquina na rede com vírus que estava enviando os pacotes para este IP, foi desconecta-la da rede e o tráfego caiu bastante.

    Fica a dica.

  8. #8

    Padrão

    mas nao tem como
    se vc por uma regra no firewall rules
    todo trafego com destino ao ip tal.. da um drop
    vc add essa regra tanto em output quanto em imput, tenq barrar esse ip
    so se a aplicação q ta fazendo isso troca de ip quando ele é bloquiado
    isso q faz concerteza é o ares...



  9. #9

    Padrão

    pessoal , esse ip nao acessa pela porta 80, ou seja, nao é servidor web para paginas, com certeza é p2p - o jeito e bloquear o trafego para esse ip e ver ser algum cliente reclama de algum serviço....

  10. #10

    Padrão

    Sim, é um virus.
    Bloqueiem no firewall: Chain Output Pacote UDP destinos
    74.54.0.0/16 e 70.86.0.0/16 e 70.87.0.0/17 e 70.86.0.0/16 e 70.87.0.0/17
    Para não ter q fazer uma regra pra cada range, crie uma Address List com esses IP's.
    Todos pertencem ao AS21844 da empresa theplanet.com.
    Não tive mais problemas com esse virus.