Vi har et netværk i en lille andelsboligforening på landet, hvor vi ofte oplever at internetforbindelsen "går ned" i få minuter ad gangen. Det virker som al båndbredde bliver ædt.
Netværket har en Zywall5 router, 17 pc'ere, 3 accesspointere, 5 ip-telefoni adaptere og naturligvis et stort antal switces. Vi har en delt 8/0,760Mbit adslforb. Alt kører dhcp.
Vores netværk har fungeret fortrinligt tidligere, men er gået ned når en enkelt maskine har været inficeret af div., hvorfor alle maskiner skal være effektivt sikret.
Min mistanke er, at der i vores lokalnet er en trojansk hest el. lign. som ikke "fanges" af hverken Bullguard eller Norton Internet Security som findes på alle maskiner.
Findes der software, som kan trafikovervåge de enkelte pc'ere centralt, så det er til at finde ud af hvilken maskine(r) der laver balladen?
Desværre kan man jo ikke bare lukke den enkelte maskine fra på routerens software, så nan kunne fejlsøge fra en ende af.
Ruteres log skriver et stort antal "Firewall session time out, sent TCP RST"
Et par eksemper: 77|2005-10-30 15:24:02 |62.243.119.249:50308 |192.168.1.36:1109 |TCP RST Firewall session time out, sent TCP RST 78|2005-10-30 15:24:02 |192.168.1.36:1109 |62.243.119.249:50308 |TCP RST Firewall session time out, sent TCP RST 79|2005-10-30 15:19:51 |80.80.13.199:80 |192.168.1.33:1138 |TCP RST Peer TCP state out of order, sent TCP RST 80|2005-10-30 15:19:51 |192.168.1.33:1138 |80.80.13.199:80 |TCP RST Peer TCP state out of order, sent TCP RST 81|2005-10-30 15:08:10 |84.29.22.22:51724 |192.168.1.36:3952 |TCP RST Firewall session time out, sent TCP RST 82|2005-10-30 15:08:10 |192.168.1.36:3952 |84.29.22.22:51724 |TCP RST Firewall session time out, sent TCP RST
Q: Under which circumstances the ZyWALL sends TCP reset packets? En forklaring på den fejl: Det kan skyldes støj på linjerne. Der er ligeledes konstateret en problem med zywall, at den kan finde på at lave en komplet reset i de tilfælde. Har du noget dhcp entries i nærheden af det der.
A: ZyWALL will send the TCP reset packet back to the sender under below four situations.
1. Destination host is unreachable or source quench. 2. Firewall dynamic session is time out. 3. TCP state is incorrect. 4. One of the protected hosts is under attack. (SYN flood or Port scanning)
Umiddelbart ingen kendte viruser der arbejder på de porte. Kan se lidt messenger og det er det. (dog kig min portfortegnelse hjemmeside ned før jeg kiggede på 1275), men det tvivler jeg.
Kunne måske tro at zywall er defekt. Uanset hvad virus eller ej, så skal den ikke hænge fordi at en maskine har en virus. Kan man pinge hinanden i netværket (internt) Hvordan er det lukket? Hvis det ikke er segmenteret, så ville de enkelte clienter for mange "firewalls" popup fra Norton -> fra den enkelte client , som er inficeret.
Hvis du skal lave en undersøgelse skal du placere en pc med 2 netkort foran.
Ja, man kan pinge hinanden og lokalnetværket går heller ikke ned - kun internettet. Jeg har netop købt den nye router dog kun for at opdage at den gør nøjagtig som den gamle netgear router. Jeg blev rådet til at skifte router p.g.a. samme problematik.
Har iøvrigt købt routeren efter råd fra ZyXel. Havde ugen før købt en mindre ZyXel router som lavede det samme. De har også kikket logfiler med kun svaret at jeg skulle købe den nye dyre router.
Det lyder også for mig som defekt.. (har haft en anden zyxel router end den du har hvor den lavede samme stunt den var defekt) Så fik jeg mig en anden model og den harså kørt siden.
Efter at have lukket en sektion af vores netværk ned (3 pc'erer)- hvor brugerne har bedyret, at deres maskiner var rene - kører alt som det skal.
Sansynligvis har én maskine været skyld i hele misséren.
Hvad det så end skyldes på den ene maskine, aner jeg ikke og jeg ved heller ikke hvilken af tre det handler om. Men jeg sektionerer vores lokalnetværk anderledes ved at isolere en switch, med ligt nyt kabeltræk. Så kan de blive lukket på igen og derefter selv finde ud af hvilken maskine der skal smides af, indtil den er iorden.
ZyXel support har fået tilsendt logfiler til analyse igen - så må vi se, hvad de siger, Men jeg tror, at én maskine er del af et Zombie netværk og bruger al vores "upstream" til spamming eller andet kedeligt.
Har du mulighed for at få et Hijackthis fra maskinerne - så skal jeg nok kigge på dem?
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
