Fala galera, blz?!
nao vo tenta explica vo manda os dumps
17:18:25.083669 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:25.084131 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:25.833283 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:18:25.834152 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
ele aparece mais vezes saindo da maquina eh nao para eh constante de 1 em 1 min ele eh enviado e de 10 em 10 + ou - qndo do um tcpdump -vvv host 192.168.0.200 ele me diz isso:
771297 192.168.0.200.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
TrnID=0xCBDE
OpCode=0
NmFlags=0x11
Rcode=0
QueryCount=1
AnswerCount=0
AuthorityCount=0
AddressRecCount=0
QuestionRecords:
Name=JOCKER NameType=0x00 (Workstation)
QuestionType=0x20
QuestionClass=0x1
(ttl 128, id 40922, len 7<IMG SRC="images/forum/icons/icon_cool.gif">
alguem ai sabe oque eh isso?
detalhe essa maquina JOCKER nao existe na rede!!!
Valeu rapaziada qq ajuda eu agradeco!!!!!
-
17-07-2003, 12:25 #1Visitante
Trafego estranho dentro da rede!!
-
17-07-2003, 13:35 #2
- Ingresso
- Mar 2003
- Posts
- 427
Trafego estranho dentro da rede!!
Uma vez eu vi um caso parecido com o seu. ea soluçao foi fechar a entrada dos pacotes que vem pela internet e so permitir os que sao criados internamente
A Marcio
-
17-07-2003, 14:01 #3
- Ingresso
- Jan 2003
- Posts
- 3.073
Trafego estranho dentro da rede!!
Certo, mas isso nao solucionaria o problema dele, pois o pacote esta originando da mesma rede.
Maquinas windows adoram mandar broadcast, parecem num sei oq ...
sinceramente, verifique onde esta essa maquina .200 , seja usando smbstatus ou qualquer outra artimanha para voce ter uma nocao de onde a mesma esta, uma saida seria ver o MAC da placa e entao ver onde ela esta, mas isso eh tao dificil pois sao rarissimas pessoas que tem isso documentado... eu pelo menos nao tenho hehe <IMG SRC="images/forum/icons/icon_smile.gif">
Procure a tal maquina, seu ambiente de rede nao deve ter mais do que 254 maquinas nao ? (hehe)
-
18-07-2003, 12:46 #4Visitante Trafego estranho dentro da rede!!
entao eu sei qual eh a maquina eu fui ate eh tirei alguns programas da key RUN do windows eh parece que esta normal agora achei alguns arquivos em algumas maquinas chamados _wwtask.exe que tem um icone mto feio imitando icone de aplicativo sem icone manja? bom eu sei q eh um trojan mais ainda nao consegui descobri qual eh... o estranho q essa maquina .200 nao tinha esse trojan... bom sei la... mas valeu atencao!!!!!!!!
Citação