Internet Congestionada(virus na rede?)

[Argolo]

Boa Noite pessoal!

Estou com um problema no meu MK, de ontem para hoje ele está registrando no grafico um envio para os clientes (up) de até 12megas
antes que o velox so dava no maximo 500 a 600k no upload. na interface ele chega a acusar 30 a 50 mil pacotes enviados e os graficos ficaram assim
http://mkcabula.ddns.info:81/graphs/iface/CLIENTES/
e a interface link n tem recebido dados suficientes para enviar tanto arquivo,

OBS: Não tenho nenhum tipo de cache funcionando.
não consigo monitorar pelo queues pq ta parecendo trafego não monitorado.

quase certeza q é algum computador de cliente com virus!
mas vem a pergunta! qual cliente? como descubro quem é?
qual melhor dica q voces podem me dar?

[alexsuarezferreira]

sim, pode ser virus, contola a interque vai apra o cliente, e ve ha opão torch dai tu descobre quem ta com problemas, mas pode ser sim virus..

[farias]

Olá Argolo,
Para descobrir terá que ser atravez de logs
Faça o seguinte, rode o conteúdo abaixo "Firewall" no terminal do seu Mikrotik e então você poderá acompanhar os logs pra ver quem está tendo portas barradas. Veja que esse firewall não é o melhor... tem que adicionar mais regras a ele, mas já é um começo.


/ip firewall address-list
add list=isc.incidents.org address=77.95.186.182
add list=isc.incidents.org address=125.141.224.71
add list=isc.incidents.org address=219.150.223.253
add list=isc.incidents.org address=61.128.110.96
add list=isc.incidents.org address=221.130.140.18
add list=isc.incidents.org address=61.191.56.40
add list=isc.incidents.org address=219.149.194.245
add list=isc.incidents.org address=122.225.100.154
add list=isc.incidents.org address=222.45.112.221
add list=isc.incidents.org address=211.143.61.53

/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s

/ip firewall filter
add action=drop chain=forward src-address-list=isc.incidents.org
add action=drop chain=known_viruses comment="windows - not EXACTLY a virus" dst-port=135-139 protocol=tcp
add action=drop chain=known_viruses comment="windows - not EXACTLY a virus" dst-port=135-139 protocol=udp
add action=drop chain=known_viruses comment="winXP netbios not EXACTLY a virus" dst-port=445 protocol=udp
add action=drop chain=known_viruses comment="winXP netbios not EXACTLY a virus" dst-port=445 protocol=tcp
add action=drop chain=known_viruses comment="msblast worm" dst-port=593 protocol=tcp
add action=drop chain=known_viruses comment="msblast worm" dst-port=4444 protocol=tcp
add action=drop chain=known_viruses comment="WITTY worm" dst-port=4000 protocol=tcp
add action=drop chain=known_viruses comment="SoBig.f worm" dst-port=995-999 protocol=tcp
add action=drop chain=known_viruses comment="SoBig.f worm" dst-port=8998 protocol=tcp
add action=drop chain=known_viruses comment="beagle worm" dst-port=2745 protocol=tcp
add action=drop chain=known_viruses comment="beagle worm" dst-port=4751 protocol=tcp
add action=drop chain=known_viruses comment="SQL Slammer" dst-port=1434 protocol=tcp
add action=drop chain=known_viruses comment="________" dst-port=1024-1030 protocol=tcp
add action=drop chain=known_viruses comment="Drop MyDoom" dst-port=1080 protocol=tcp
add action=drop chain=known_viruses comment="________" dst-port=1214 protocol=tcp
add action=drop chain=known_viruses comment="ndm requester" dst-port=1363 protocol=tcp
add action=drop chain=known_viruses comment="ndm server" dst-port=1364 protocol=tcp
add action=drop chain=known_viruses comment="screen cast" dst-port=1368 protocol=tcp
add action=drop chain=known_viruses comment="hromgrafx" dst-port=1373 protocol=tcp
add action=drop chain=known_viruses comment="cichlid" dst-port=1377 protocol=tcp
add action=drop chain=known_viruses comment="Worm" dst-port=1433 protocol=tcp
add action=drop chain=known_viruses comment="Bagle Virus" dst-port=2745 protocol=tcp
add action=drop chain=known_viruses comment="Drop Dumaru.Y" dst-port=2283 protocol=tcp
add action=drop chain=known_viruses comment="Drop Beagle" dst-port=2535 protocol=tcp
add action=drop chain=known_viruses comment="Drop MyDoom" dst-port=3127-3128 protocol=tcp
add action=drop chain=known_viruses comment="Drop Backdoor OptixPro" dst-port=3410 protocol=tcp
add action=drop chain=known_viruses comment="Drop Sasser" dst-port=5554 protocol=tcp
add action=drop chain=known_viruses comment="Drop Beagle.B" dst-port=8866 protocol=tcp
add action=drop chain=known_viruses comment="Drop Dabber.A-B" dst-port=9898 protocol=tcp
add action=drop chain=known_viruses comment="Drop Dumaru.Y" dst-port=10000 protocol=tcp
add action=drop chain=known_viruses comment="Drop MyDoom.B" dst-port=10080 protocol=tcp
add action=drop chain=known_viruses comment="Drop NetBus" dst-port=12345 protocol=tcp
add action=drop chain=known_viruses comment="Drop Kuang2" dst-port=17300 protocol=tcp
add action=drop chain=known_viruses comment="Drop SubSeven" dst-port=27374 protocol=tcp
add action=drop chain=known_viruses comment="Drop PhatBot, Agobot, Gaobot" dst-port=65506 protocol=tcp

add action=drop chain=bad_people src-address=218.104.138.166
add action=drop chain=bad_people src-address=212.3.250.194
add action=drop chain=bad_people src-address=203.94.243.191
add action=drop chain=bad_people src-address=202.101.235.100
add action=drop chain=bad_people src-address=58.16.228.42
add action=drop chain=bad_people src-address=58.248.8.2
add action=drop chain=bad_people src-address=202.99.11.99
add action=drop chain=bad_people src-address=218.52.237.219
add action=drop chain=bad_people src-address=222.173.101.157
add action=drop chain=bad_people src-address=58.242.34.235
add action=drop chain=bad_people src-address=222.80.184.23
add action=drop chain=bad_people comment="Known Spammer" src-address=81.180.98.3
add action=drop chain=bad_people comment="Known Spammer" src-address=24.73.97.226
add action=drop chain=bad_people comment="http://isc.incidents.org/top10.html listed" src-address=67.75.20.112
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="allows only 10 FTP login incorrect answers per minute" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=forward comment="drop invalid connections DELETE" connection-state=invalid
add action=drop chain=forward comment="Blocks SSH" dst-port=22 protocol=tcp
add action=jump chain=forward comment="Known virus ports DELETE" jump-target=known_viruses
add action=jump chain=forward comment="kill known bad source addresses DELETE" jump-target=bad_people
add action=jump chain=forward comment="Jump to Accepted List" jump-target=accept_list
add action=accept chain=forward comment="allow established connections DELETE" connection-state=established
add action=accept chain=forward comment="allow related connections DELETE" connection-state=related
add action=accept chain=forward comment="Allow All"

[FMANDU]

Esse é um grande problema, que gera problemas até para experientes administradores de rede. Se voce utiliza o MK uma boa ferramenta e o (Torch), que faz uma analize na rede e se voce souber interpretar, achara a fonte do problema.

[alexsuarezferreira]

Esse é um grande problema, que gera problemas até para experientes administradores de rede. Se voce utiliza o MK uma boa ferramenta e o (Torch), que faz uma analize na rede e se voce souber interpretar, achara a fonte do problema.

tambem acho o torch o melhor , outro dia mesmo achamos uma cliente que simplesmente matava a rede, ficava cravado em 6mb no talo mas não consumia o link, e ninguem navegava, foi so fazer o torch e vimo o ip que tentava abrir um monte de portas altas todas a 74k, foi so derrubar ela que tudo voltou ao normal, esa cliente ganhou ate fdormatação gratis, deuso o livre!!

[Tremedeira]

Esse é um grande problema pra quem usa rede em bridge , procure isolar o trafego de seus clientes , logo deixara de afetar sua rede.

[danilosceu]

posta mais detalhes ai, oque vc ja fes pra tentar resolver, ja vi muitos casos assim, e pode ser virus sim.

[nandop1240]

amigo, pode ir em ip > firewall > connections e veja qual o ip que mais tem requisições, se nao aparecer requisiçoes clique em Tracking e clica em enabled

falou

[emsfalcao]

Tive um problema semelhante ontem a noite, um usuário com um upload alto e initerrúpto. Verifiquei na QUEUES qual era o upload mais alto, peguei o IP, joguei no filtro do Firewall para verificar qual a porta, e Bingo! na porta ICMP, geralmente utilizada pelo ping, tracert ou vírus. Fiz o bloqueio do usuário e entrei em contato com ele. Confirmado o virus, a maquina foi formatada e o problema resolvido.

Mas bom também verificar a existencia de alguns softwares de p2p na rede, eles também causam grandes instabilidades, principalmente se a conexão for ADSL.

[alexsuarezferreira]

sim, outro programa que faz um baita estrago e o orbit, e um FDP. tem uma marcação que o CATV fez e esta aqui no forum e so procurar para portar UDP que resolve, mas sem esa amrcação, o olrbit ferra legal com qualquer rede que use mikrotik como servidor, pode creer...

[farias]

É essa:

/ ip firewall mangle
add chain=prerouting protocol=udp action=mark-connection \
new-connection-mark=udp_teste passthrough=yes comment="MARCA O DE UDP" \
disabled=no
add chain=prerouting connection-mark=udp_teste action=mark-packet \
new-packet-mark=udp passthrough=yes comment="" disabled=no

/ queue tree
add name="UDP" parent=global-in packet-mark=udp limit-at=100000 \
queue=default priority=8 max-limit=100000 burst-limit=0 \
burst-threshold=0 burst-time=0s disabled=no