Vírus em Cliente e tráfego no limite do cartão

[Kandango]

Pessoal, ando enfrentando problemas em clientes isolados, que de tempo em tempo são infectados com virus diversos (não há um padrão), ocorrendo uma injeção de tráfego nos cartões, chegando as vezes de 2.5 mbps a 3 mbps, derrubando todos os clientes associados ao mesmo. O interessante que estes vírus não respeitam o limite de tráfego imposto para o cliente na queues e nem as regras de restrição de conexões simultâneas.

Devido a este problema, está quase impossível o monitoramento dos Pops, sendo que são 18 células, e nunca sabemos quem célula vai ocorrer, para ir no cliente e resolver.

Uma saída que imaginei, mais profissional, seria criar um script nestes pops, para bloquear o MAC do cliente que ultrapasse 1 mbps e enviasse um mail para nossa central informando do problema, senho que a maior banda ofertada por aqui é de 600 kbps.

Alguém teria um idéia melhor ou alguma experiência com este tipo de problema, pois eu venho batendo nesta tecla com o pessoal da forum.mikrotik.com (normis) e ainda não me passou uma solução, que a meu ver está a nível de protocolo, pois existem também programas igual o nc (netcat) e wintraff, que não respeita as restrições de acesso do mkt, que podem derrubar qualquer pop.

[caicarabruno]

Pessoal, ando enfrentando problemas em clientes isolados, que de tempo em tempo são infectados com virus diversos (não há um padrão), ocorrendo uma injeção de tráfego nos cartões, chegando as vezes de 2.5 mbps a 3 mbps, derrubando todos os clientes associados ao mesmo. O interessante que estes vírus não respeitam o limite de tráfego imposto para o cliente na queues e nem as regras de restrição de conexões simultâneas.

Devido a este problema, está quase impossível o monitoramento dos Pops, sendo que são 18 células, e nunca sabemos quem célula vai ocorrer, para ir no cliente e resolver.

Uma saída que imaginei, mais profissional, seria criar um script nestes pops, para bloquear o MAC do cliente que ultrapasse 1 mbps e enviasse um mail para nossa central informando do problema, senho que a maior banda ofertada por aqui é de 600 kbps.

Alguém teria um idéia melhor ou alguma experiência com este tipo de problema, pois eu venho batendo nesta tecla com o pessoal da forum.mikrotik.com (normis) e ainda não me passou uma solução, que a meu ver está a nível de protocolo, pois existem também programas igual o nc (netcat) e wintraff, que não respeita as restrições de acesso do mkt, que podem derrubar qualquer pop.

Ola Blza! tive este memso problemas, porém com pequenas regras de firewall é possível resolver,
basta bloquear tudo e liberar o que você utiliza, tipo porta 80, 8080 e por ai vai, e outra normalmente o que passa da velocidade estipulada são os P2P, vc trabalha com queue, pelo que os clientes passam de 1MB.

[Gustavinho]

Cara tem um post de um cara que fez uma lista de portas bloqueadas do no firewall...sobre virus....ta na seção firewalll....mais ta ae o arquivo dele.
Firewall+Bloqueio+de+Virus+conhecid os - Página 9

Ainda nao utilizei...pois é preciso observar bem a lista....antes de colar no seu MK.

abraços

[fernandofiorentinn]

Pessoal, ando enfrentando problemas em clientes isolados, que de tempo em tempo são infectados com virus diversos (não há um padrão), ocorrendo uma injeção de tráfego nos cartões, chegando as vezes de 2.5 mbps a 3 mbps, derrubando todos os clientes associados ao mesmo. O interessante que estes vírus não respeitam o limite de tráfego imposto para o cliente na queues e nem as regras de restrição de conexões simultâneas.

Devido a este problema, está quase impossível o monitoramento dos Pops, sendo que são 18 células, e nunca sabemos quem célula vai ocorrer, para ir no cliente e resolver.

Uma saída que imaginei, mais profissional, seria criar um script nestes pops, para bloquear o MAC do cliente que ultrapasse 1 mbps e enviasse um mail para nossa central informando do problema, senho que a maior banda ofertada por aqui é de 600 kbps.

Alguém teria um idéia melhor ou alguma experiência com este tipo de problema, pois eu venho batendo nesta tecla com o pessoal da forum.mikrotik.com (normis) e ainda não me passou uma solução, que a meu ver está a nível de protocolo, pois existem também programas igual o nc (netcat) e wintraff, que não respeita as restrições de acesso do mkt, que podem derrubar qualquer pop.

verifica em que porta ta passando mais trafego, eu vi um post aqui sobre trafego na porta zero, vo procurar aqui e depois eu posto

[geovane]

Amigos, tb de vez em quando passo por isso.

Mesmo vc dropando os pacotes o trafego ainda continua na Wlan.

Soh resolve qdo bloqueio o MAC no ACCESS LIST, e depois ligar ou ir no cliente para pedir para resolver.

Realmente precisamos encontrar alguma alternativa para isso.

verifica em que porta ta passando mais trafego, eu vi um post aqui sobre trafego na porta zero, vo procurar aqui e depois eu posto

[brenovale]

Amigos,

isso pode ser evitado utilizando as opções:
Wireless--> Access List
AP Tx limit (Para limitar a velocidade transmitida pelo Ponto de Acesso)
Client Tx limit (Limita a velocidade transmitida pelo cliente)

[]'s

[geovane]

Blz!!!
Funcionou!!!
Agora, qual a diferença prática do AP Tx limit, Client Tx limit.

Amigos,

isso pode ser evitado utilizando as opções:
Wireless--> Access List
AP Tx limit (Para limitar a velocidade transmitida pelo Ponto de Acesso)
Client Tx limit (Limita a velocidade transmitida pelo cliente)

[]'s

[fernandofiorentinn]

Traduzindo no "GROSSO" AP tx limit > download.
Cliente tx limit > upload.

[morfetico]

Pessoal, ando enfrentando problemas em clientes isolados, que de tempo em tempo são infectados com virus diversos (não há um padrão), ocorrendo uma injeção de tráfego nos cartões, chegando as vezes de 2.5 mbps a 3 mbps, derrubando todos os clientes associados ao mesmo. O interessante que estes vírus não respeitam o limite de tráfego imposto para o cliente na queues e nem as regras de restrição de conexões simultâneas.

Devido a este problema, está quase impossível o monitoramento dos Pops, sendo que são 18 células, e nunca sabemos quem célula vai ocorrer, para ir no cliente e resolver.

Uma saída que imaginei, mais profissional, seria criar um script nestes pops, para bloquear o MAC do cliente que ultrapasse 1 mbps e enviasse um mail para nossa central informando do problema, senho que a maior banda ofertada por aqui é de 600 kbps.

Alguém teria um idéia melhor ou alguma experiência com este tipo de problema, pois eu venho batendo nesta tecla com o pessoal da forum.mikrotik.com (normis) e ainda não me passou uma solução, que a meu ver está a nível de protocolo, pois existem também programas igual o nc (netcat) e wintraff, que não respeita as restrições de acesso do mkt, que podem derrubar qualquer pop.

Ola se ainda tiver o problema ainda, me manda um email pq talvez eu posso ajudar.

[fernandofiorentinn]

Ola se ainda tiver o problema ainda, me manda um email pq talvez eu posso ajudar.

Rapaz, fala o que tu sabe ai.. isso aqui é um forum de ajuda mutua, se tu tens a solução pra esse problema coloca ai que servirá pra alguem mais tarde.

[morfetico]

Bem
Como não da pra fazer varias perguntas então vou responder o que pode talvez ajudar, lembrando que eu não domino totalmente o mikrotik.
O que eu ja fiz no mikrotik é: link ponto a ponto, ap,cliente, nat ,bridge, controle de banda, wds,encriptação, reset e troca de firmware via cabo console,watchdog. Existe algumas peculialidades que ja deve ter acontecido com alguem ex: quando um cartão associa com um cartão que se encontra na mesma routerboard o equipamento fica inacessivel, somente depois que retira o cartão e troca o ssid é que volta a funcionar, portanto não tente acessar o ssid do própio aparelho.
Desculpe por entrar num assunto que não tem haver com o tópico mas devido o nat que pode ser feito atravez do própio mikrotik, então há a necessidade de saber como configura-lo ex:
- Fazer um nat somente das portas que enteressam 25 53 80 443 445 msn e outras(cliente não pinga na internet).
- Fazer um controle de banda para diminuir o through put para cada cartão 5 megas talvez.
- Configurar para um cliente não "exergar" o outro ( block relay).
- Colocar uma faixa de ip diferente para cada usuário ex:172.16.0.1/255.255.255.252 (ip e gateway diferente para cada usuário).
- Fazer o controle de banda no própio cliente ( roteador wireless deve ter suporte)
ainda usa placa pci wireless? (ta louco?) troque por um roteador com controle de banda.
- Usa servidor linux como roteador? utilize o tcpdump ou iptraf para monitorar a quantidade de requisições do usuario que pode conter virus e aproveita e faz o nat das portas que enteressam e deixe o mikrotik como bridge( verifique se seu roteador linux tem o kernel 2.4, kernel 2.4 como gateway aumenta o ping e perde pacote quando recebe ataque (flood).
Existe uma exelente solução (paga) que usa linux como plataforma, chama-se brma.
Esta solução tem um monitoramento do usuário e exibe o usuário que esta utilizando portas aleatórias com centenas de conexões que não são as portas que enteressam ( caracteristica de virus).
Não sou espelialista mas espero ter ajudado em alguma coisa.