Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Cool Virus na rede, deixando rbs congestionadas!!! RESOLVIDO!!!!

    Ola, boa noite ao pessoal do forum, este é meu primeiro post, gostaria desde já agradecer aos colegas que relatarem suas experiencias, e soluções.

    Bom vou começar a contar oq aconteceu, hj por volta de 12 horas fui até a residencia de um cliente que estava reclamando pq naum estava navengando na internet, fui até la, pois eu via trafego no servidor do ip dele, chegando la constatei que o computador dele estava infectado, recomendei q formatasse seu computador. até ai tudo blz, mas em torno de 16 horas minha rede simplesmente travo, pessoal, 3 repetidoras. 1 com 1 painel e wds, outra com wds e omni, outra com wds e 4 paineis e 2 servidores, tudo travado, eu desligava e ligava novamente, e funcionava por uns 30, 40 segundos e parava denovo, nem pinga eu naum conseguia, unica maneira de acessar as rbs era via cabo, via wireless conectava mas naum respondia, ai comecei a analizar oq estava acontecendo, deixei os servidores desligados e comecei a analizar o fuxo de dados, foi onde identifiquei o alto trafego, ai fui ver era o mesmo cliente que estava infectado de manha, enviando e recebendo dados para varias pessoas por icmp, mas trafegos mt altos para o ip 255.255.255.255 e eu naum sei oq isso siguinifica, resolvi o problema formatando o pc deste cliente, mas gostaria de naum me preocupar mais com isso, oq vcs sugerem? lembrando que regras de firewall para o servidor naum vai adiantar, já que o trafego naum era externo, eu desliguei os servidores de internet e mesmo assim a rede estava congestionada. agora esta 100%....
    Última edição por MaxAdriano; 29-06-2009 às 22:48.

  2. #2

    Padrão

    Olá amigo!

    Estou com um problema assim também. Tenho vários painéis em WDS e vírus de cliente está congestionando a rede toda. Sobe o ping para todo mundo né?

    Eu estou num processo aqui para tentar barrar o vírus... Estou bloqueando o tráfego de uma WDS para a outra. As WDS estão falando somente com o gateway.

    Como vc faz para detectar quem está mandando todo esse broadcast? Vc faz um log para os pacotes destinados para 255.255.255.255, é isso?

    Estou pensando em dividir a rede em várias vlans para não deixar que o vírus vá para a rede toda...

    Obrigado!
    Fabricio



  3. #3
    Moderador Avatar de xandemartini
    Ingresso
    Nov 2005
    Localização
    Espumoso, Brazil
    Posts
    2.410
    Posts de Blog
    1

    Padrão

    Citação Postado originalmente por FabricioViana Ver Post
    Olá amigo!

    Estou com um problema assim também. Tenho vários painéis em WDS e vírus de cliente está congestionando a rede toda. Sobe o ping para todo mundo né?

    Eu estou num processo aqui para tentar barrar o vírus... Estou bloqueando o tráfego de uma WDS para a outra. As WDS estão falando somente com o gateway.

    Como vc faz para detectar quem está mandando todo esse broadcast? Vc faz um log para os pacotes destinados para 255.255.255.255, é isso?

    Estou pensando em dividir a rede em várias vlans para não deixar que o vírus vá para a rede toda...

    Obrigado!
    Fabricio
    Fabricio, vc tem um controle de banda central, não controla a banda dos clientes nas próprias routerboards? Se sim, o tráfego escapa do controle de banda?

  4. #4

    Padrão

    realmente concordo com o alexande, com o controle de banda o cliente infectado só usaria a banda estabelecida por vc, hj em dia que usuario domestico não tem um virus em eu pc??? mataria qualquer rede....



  5. #5

    Padrão

    Citação Postado originalmente por tqueiroz Ver Post
    realmente concordo com o alexande, com o controle de banda o cliente infectado só usaria a banda estabelecida por vc, hj em dia que usuario domestico não tem um virus em eu pc??? mataria qualquer rede....
    Olha... das experiências que tive com isso, já aconselho de inicio bloquear o EMULE, é 90% de chance de ele "zuar" a rede, tambem já tive situação de ter q bloquear a porta 445 (tcp e udp)!
    Boa Sorte !!!

  6. #6

    Padrão

    Alexandre, infelizmente ñ controlo em cada RB por causa do sistema que uso aqui...

    Como faço somente prédios, crio uma WDS por prédio e autentico os clientes na RB principal...

    Então a rede ta lotada de broadcast mas a pessoa não está nem na internet...

    Abraço
    Fabrício



  7. #7
    Moderador Avatar de xandemartini
    Ingresso
    Nov 2005
    Localização
    Espumoso, Brazil
    Posts
    2.410
    Posts de Blog
    1

    Padrão

    Citação Postado originalmente por FabricioViana Ver Post
    Alexandre, infelizmente ñ controlo em cada RB por causa do sistema que uso aqui...

    Como faço somente prédios, crio uma WDS por prédio e autentico os clientes na RB principal...

    Então a rede ta lotada de broadcast mas a pessoa não está nem na internet...

    Abraço
    Fabrício
    Te perguntei pq eu também tenho esse modelo em minha rede, mas vou migrar. Quero ter ip real em cada RB e autenticar via hotspot e radius, pois uso o Vigo e Myauth, irei usar somente o Vigo. Tem momentos que o monitoramento que uso no The Dude chega até a perder as infos dos trafegos entre os enlaces, por causa dos trafegos nas bridges, por causa do broadcast. Sem contar q pode acontecer, como ja aconteceu 2x aqui, de apenas 1 clientes com problema gerar conflito de ip por toda a rede.

    Isso quero fazer ja em menos de um mês, e logo em seguida ainda quero tirar um AS próprio e fornecer IPs válidos para todos os clientes.

  8. #8

    Padrão

    Citação Postado originalmente por FabricioViana Ver Post
    Olá amigo!

    Estou com um problema assim também. Tenho vários painéis em WDS e vírus de cliente está congestionando a rede toda. Sobe o ping para todo mundo né?

    Eu estou num processo aqui para tentar barrar o vírus... Estou bloqueando o tráfego de uma WDS para a outra. As WDS estão falando somente com o gateway.

    Como vc faz para detectar quem está mandando todo esse broadcast? Vc faz um log para os pacotes destinados para 255.255.255.255, é isso?

    Estou pensando em dividir a rede em várias vlans para não deixar que o vírus vá para a rede toda...

    Obrigado!
    Fabricio
    amigo eu descubri o cliente dando um tosh nas interfaces, ai vi q o trafego de um determinado ip era mt alto, e aparecia em todas as interfaces... vc saberia oq é o ip 255.255.255.255?



  9. #9

    Padrão

    Citação Postado originalmente por renatoniz Ver Post
    Olha... das experiências que tive com isso, já aconselho de inicio bloquear o EMULE, é 90% de chance de ele "zuar" a rede, tambem já tive situação de ter q bloquear a porta 445 (tcp e udp)!
    Boa Sorte !!!
    certo, mas minhas rbs estão somente como bridge, não faz controle nenhum, se eu bloquear algo no servidor, a rede ficara ruim igual...

  10. #10

    Padrão

    Tive o mesmo problema.
    Eu bloqueiei o MAC do cliente de se conectar na torre até ele formatar o pc.



  11. #11

    Padrão

    Citação Postado originalmente por xandemartini Ver Post
    Te perguntei pq eu também tenho esse modelo em minha rede, mas vou migrar. Quero ter ip real em cada RB e autenticar via hotspot e radius, pois uso o Vigo e Myauth, irei usar somente o Vigo. Tem momentos que o monitoramento que uso no The Dude chega até a perder as infos dos trafegos entre os enlaces, por causa dos trafegos nas bridges, por causa do broadcast. Sem contar q pode acontecer, como ja aconteceu 2x aqui, de apenas 1 clientes com problema gerar conflito de ip por toda a rede.

    Isso quero fazer ja em menos de um mês, e logo em seguida ainda quero tirar um AS próprio e fornecer IPs válidos para todos os clientes.

    achei mt interessante sua solução, sua solução, eu tambem monitoro com o The Dude, e as ele chega a perder o trafego tbem, mas te pergunto, como vc daria ips validos para todos os seus clientes? para que eu possa controlar os clientes nas RBs eu teria q colocar algum controle tipo rotspot ou radius? obrigado pelo auxilio...
    Última edição por MaxAdriano; 28-06-2009 às 12:37.

  12. #12

    Padrão

    Citação Postado originalmente por cooperrj Ver Post
    Tive o mesmo problema.
    Eu bloqueiei o MAC do cliente de se conectar na torre até ele formatar o pc.
    eu pensei nessa solução, mas como eu bloqueio apenas 1 mac de conectar na RB? eu uso as RBs em bridge, controle eu tenho apenas nos servidores...



  13. #13

    Padrão Redes em bridge

    Pessoal isso é o que mais se ver nos provedores wireless hoje em dia, bridge + WDS, os provedores pegaram a mania de fazer tudo um bridge e "atola" clientes nas RBs.
    Se você tiver um rede desentralizada os problemas se some a rede fica livre, o monitoramento se torna 100% e por ai vai...

    O que tem que ser feito é rotear a rede fazendo entre pops /30 agregando classes diferente entre pops e por ai vai, simples de se fazer, maneira correta de se trabalhar assim concerteza os problemas minimizam e seu provedor vai ficar cada vez mais bem feito.


  14. #14

    Padrão

    MAX.
    Basta adicionar o mac em Wireless - Access List... desmarcando as 2 ultimas opções...



  15. #15

    Padrão

    Como vcs fazem para detectar quem está causando o problema? FAz um log de tudo o que passa com destino 255.255.255.255??

    Gostaria de saber isso pois aí eu descubro quem é e fica mais fácil e rápido resolver...

    Obrigado!
    Fabrício

  16. #16

    Padrão

    Max - Para completar o que postei. As 2 opções a desmarcar são Authentication e Forwarding...
    Fabricio... Eu geralmente vejo em Tools - Torch.. Em interface coloco a minha de saida para os clientes e marco as opções Src e Dst Adress, Protocol e Port. Ele mostrará todas as conexões ativas no momento.



  17. #17

    Padrão

    Citação Postado originalmente por cooperrj Ver Post
    MAX.
    Basta adicionar o mac em Wireless - Access List... desmarcando as 2 ultimas opções...
    Muito obrigado mesmo pela ajuda.....

  18. #18

    Padrão

    Funcionou bem?



  19. #19

    Padrão

    Citação Postado originalmente por FabricioViana Ver Post
    Como vcs fazem para detectar quem está causando o problema? FAz um log de tudo o que passa com destino 255.255.255.255??

    Gostaria de saber isso pois aí eu descubro quem é e fica mais fácil e rápido resolver...

    Obrigado!
    Fabrício
    Fabricio, para detectar o usuario problematico é so dar um tosh nas interfaces ai vai aparecer o protocolo usado, o ip de origuem e o de destino, eu identifiquei pq o trafego era mt alto, mas é bem simples... espero ter ajudado
    Última edição por MaxAdriano; 28-06-2009 às 12:58.

  20. #20

    Padrão

    Max. Edita o topico e coloca como resolvido. Sempre que precisar estamos por aqui