PDA

Visualizza versione completa : Traffico strano sulla LAN


Alexander_22
26-06-2007, 12.33.27
Buongiorno ragazzi,
vorrei sottoporvi un problemino. Abbiamo notato in azienda che ogni tanto la connessione ad Internet cadeva e quindi abbiamo deciso di chiamare il provider dei servizi internet per chiedere spiegazioni. Dopo vari test ci hanno inviato un log dal quale si evince un traffico non indifferente sulla portante ADSL. In particolare da un pc con Vista sono aperte circa un centinaio di porte con numeri alti (del tipo 49249 ecc.) che fanno traffico e che di tanto in tanto fanno collassare il router.
Ora vi chiedo, come faccio ad avere un controllo su queste porte e a sapere cosa ci gira su? Posso in qualche modo chiudere le porte sospette? In che modo?
Grazie a tutti.

P.S. Vi allego il log del provider.

Tecno214
26-06-2007, 12.45.31
PArtiamo dalle cose che mi sembrano OVVIE....

Mi sembra di capire che non c'è nessun firewall istallato sulla LAN, il che fa pensare che, nel 90% delle ipotesi, il pc in questione venga usato per scopi non proprio lavorativi, leggasi peer to peer...
Se vuoi averne la conferma non ti resta che procedere analizzando i pacchetti che transitano in rete, ed ethereal in questo caso non ha rivali...

Appurato ciò le soluzioni possono essere diverse ma, se fossi admin della lan io stesso non mancherei di fare queste cose.

*) Istallazione di un bel firewall centralizzato, magari sul gateway della connessione, tipo Isa server o similari, in grado di autorizzare il traffico dove e come lo vuoi tu e per chi vuoi tu.....
E già qui saresti in una botte di ferro..

*) CReazione di policy ad ok in grado di restringere ulteriormente cio che un utente può e non può fare sulla lan locale....

Non dai molte info sulla architettura della tua rete per cui mi sono limitato a fare una analisi in uno scenario Server/gateway + X Client collegati tramite "RRAS"....

Alexander_22
26-06-2007, 13.25.58
Non dai molte info sulla architettura della tua rete per cui mi sono limitato a fare una analisi in uno scenario Server/gateway + X Client collegati tramite "RRAS"....
Hai perfettamente ragione e provvedo subito a chiarirti le idee. La rete è formata da 5 pc con Win XP Pro e uno con Vista ed in più abbiamo un server che fa da DC ma che però è sempre spento inquanto ci serve solo per portare a termine alcuni test. Siamo tutti collegati ad uno switch che a sua volta è collegato al router fornitoci dal provider. Ora io penso che un minimo di Firewall questo router ce l'abbia, ma comunque non posso configurarlo io dato che è loccato. Non abbiamo nessun tipo di Firewall SW o comunque un SW che gestisca le connessioni come ISA Server. Ulteriore precisazione: non è una LAN wireless quindi si può escludere che qualcuno da fuori faccia brutti scherzi.
Nel 90% delle ipotesi, il pc in questione venga usato per scopi non proprio lavorativi, leggasi peer to peer...
Di programmi per il peer-to-peer attualmente sul PC non ce ne sono. Di questo ne sono sicuro perchè non sono proprio uno sprovveduto. Non escludo però che ci possano essere stati in passato e ke ora sono stati disinstallati.
Qui viene la mia domanda. Può essere che un programma per il peer-to-peer una volta disinstallato continui a far traffico sulla rete?
Se vuoi averne la conferma non ti resta che procedere analizzando i pacchetti che transitano in rete, ed ethereal in questo caso non ha rivali...
Ho già utilizzato questo programma ma credimi, non c'ho capito una mazza sul suo funzionamento.
Appurato ciò le soluzioni possono essere diverse ma, se fossi admin della lan io stesso non mancherei di fare queste cose.
*) Istallazione di un bel firewall centralizzato, magari sul gateway della connessione, tipo Isa server o similari, in grado di autorizzare il traffico dove e come lo vuoi tu e per chi vuoi tu.....
E già qui saresti in una botte di ferro..
Della rete mi occupo io e sinceramente eviterei di mettere ISA server visto che ha una gestione non proprio semplice.
*) Creazione di policy ad hoc in grado di restringere ulteriormente cio che un utente può e non può fare sulla lan locale....
Questa è una cosa che farò sicuramente.
Adesso ti kiedo, sapresti darmi qualche consiglio in più avendo più chiare le idee?

Grazie mille per la disponibilità.

Tecno214
26-06-2007, 14.53.50
PArtirò con l'elencarti un paio di perplessità prima di procedere oltre....

*) Dici che hai un server che fa da DC ma che, per la maggior parte del tempo è spento.
Perdonami ma non vedo il senso di una politica del genere dato che, proprio per la propria peculiarità, un Dc è fatto per amministrare un dominio e, oltre ad essere per la quasi totalità del tempo in funzione, i client dipendono proprio da esso e non vedo il perchè lo si debba spegnere.
Comunque, i client lavorano connessi al dominio oppure lavorano in workgroup?

*) Non escludere a priori programmi peer-to-peer seppure non istallati nei pc.
Emule per esempio esiste in versione standalone, esegue il suo lavoro da una pennina e, una volta tolta essa, diventa pressochè impossibile rintracciarne eventuali attività se non con specifici accorgimenti!

*) Torniamo al discorso ethereal...
Istallato insieme a un plug-in di intercettazione di pacchetti specifico (non mi ricordo il nome ma mi sembra sia WinPcup) permette di fare delle analisi di massima del traffico presente in rete.
Non conosco altri programmi proprio perchè mi sono sempre affidato ad esso.
Qui c'è una piccola guida
Ethereal (http://www.amagri.it/Attacco/Strumenti/Sniffer/Ethereal/ethereal.htm)
Mi sembra di ricordare che anche Look@lan faccia qualcosa di simile ma non l'ho mai provato!

*) Passiamo al discorso delle policy..
Ci sarebbe da scriverci un libro in merito anche perchè la cosa è alquanto soggettiva....
Come primo passo direi di istallare la console GPMC per gestire le policy, molto migliore di quella di AD; dopodichè non toccherei mai quelle di default di DC e individuerei per filo e per segno quelle che ritieni le linee guida per i tuoi client, dall'aspetto del pc alle restrizioni ecc...
Un passo alla volta.

GPMC (http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en)

*) Isa Server infine è un firewall software di alto livello, interamente configurabile e che mi sento di consigliare senza riserve a CHIUNQUE lavora in una LAN con Gateway e vuole tenere a "bada" i propri client.
Passato un iniziale momento di apprendimento ti farà fare praticamente di tutto con i tuoi clients...
Acnhe perchè di alternative similari ce ne sono veramente poche esclusi i firewall hardware dedicati --non quelli inclusi nei router però....-- (smoothwall è una alternativa) e di gratuite invece non me ne vengono proprio in mente!

Alexander_22
26-06-2007, 16.07.48
PArtirò con l'elencarti un paio di perplessità prima di procedere oltre....

*) Dici che hai un server che fa da DC ma che, per la maggior parte del tempo è spento.
Perdonami ma non vedo il senso di una politica del genere dato che, proprio per la propria peculiarità, un Dc è fatto per amministrare un dominio e, oltre ad essere per la quasi totalità del tempo in funzione, i client dipendono proprio da esso e non vedo il perchè lo si debba spegnere.
Comunque, i client lavorano connessi al dominio oppure lavorano in workgroup?!
Il server che fa da DC non è necessario per il nostro lavoro. E' un server che abbiamo messo su per fare dei test che lo mettono a dura prova e ne compromettono la stabilità, quindi utilizzarlo come un vero e proprio DC sarebbe inutile e ci incasinerebbe la vita. Tralaltro il server si trova ad essere un DC proprio a causa di un test con Active Directory. :) I nostri pc sono in Workgroup e davvero non abbiamo necessità di entrare in dominio.

*) Non escludere a priori programmi peer-to-peer seppure non istallati nei pc.
Emule per esempio esiste in versione standalone, esegue il suo lavoro da una pennina e, una volta tolta essa, diventa pressochè impossibile rintracciarne eventuali attività se non con specifici accorgimenti!!
Sapevo di questa situazione e ho preventivamente disabilitato le porte USB che risultano ancora esserlo. Io escluderei programmi per il p2p perchè le prove con il provider le ho fatte io su quel pc e non c'era nessun programma p2p in esecuzione, quindi se questi programmi non continuano a restare attivi sulla rete anche dopo la loro disinstallazione io li escluderei.


*) Isa Server infine è un firewall software di alto livello, interamente configurabile e che mi sento di consigliare senza riserve a CHIUNQUE lavora in una LAN con Gateway e vuole tenere a "bada" i propri client.
Passato un iniziale momento di apprendimento ti farà fare praticamente di tutto con i tuoi clients...
Acnhe perchè di alternative similari ce ne sono veramente poche esclusi i firewall hardware dedicati --non quelli inclusi nei router però....-- (smoothwall è una alternativa) e di gratuite invece non me ne vengono proprio in mente!
D'accordissimo con te ma la gestione di ISA ci costerebbe troppo tempo pur avendo già esperienza.

Tecno214
26-06-2007, 17.50.57
Grazie per le puntuali delucidazioni....

Quello che mi viene attualmente in mente porta a due conclusioni, almeno per le mie modeste conoscenze:

*) il pc in questione è affetta in qualche modo da malware che genera nel pc un continuo e massiccio uso della banda internet.
Un "denial of service2 per entrare nel tecnico.
Sarebbe opportuna una analisi specifica della macchina e del suo log hijackthis.

*) Una applicazione "lecita" che, tentando il collegamento ad internet per X motivi satura la banda.
Windowsupdate, l'update dell'antivirus e quant'altro di lecito mi può venire in mente anche se mi sembra un pò strano!
Ecco che ethereal farebbe proprio al caso nostro (scusami se sono ripetitivo ma sarebbe la prima cosa che farei) per analizzare il traffico nel dettaglio!

*) Puoi bloccare con un firewall (anche quello integrato in Vista purchè blocchi tutte le connessioni) le connessioni in uscita (TUTTE) e vedere tramite i nagscreen che apparirano quale applicativo si "lamenterà" e chiederà di accedere!

Alexander_22
27-06-2007, 14.32.37
*) il pc in questione è affetta in qualche modo da malware che genera nel pc un continuo e massiccio uso della banda internet.
Un "denial of service2 per entrare nel tecnico.
Sarebbe opportuna una analisi specifica della macchina e del suo log hijackthis.
Effettivamente un attacco DOS l'avevo ipotizzato ma date le mie scarse conoscenze in materia ho preferito tacere. Comunque in allegato c'è il log di HiJackThis. Penso ci siano un paio di chiavi (forse anche di più) da Fixare, ma comunque mi rimando a te per avere una certezza ulteriore.

*) Una applicazione "lecita" che, tentando il collegamento ad internet per X motivi satura la banda.
Windowsupdate, l'update dell'antivirus e quant'altro di lecito mi può venire in mente anche se mi sembra un pò strano!
L'Antivirus lo escludo per un semplice motivo: NON C'E'. La postazione è un client di prova e la prova consisteva nel testare Windows Vista senza Antivirus. Sarei propenso ad escludere anche Windows Update perchè non penso possa saturare da solo l'intera banda.

Ecco che ethereal farebbe proprio al caso nostro (scusami se sono ripetitivo ma sarebbe la prima cosa che farei) per analizzare il traffico nel dettaglio!
Il fatto di essere ripetitivo su Ethereal è del tutto giustificato perchè conosco il programma e le sue potenzialità ma ahimè non so usarlo. Magari faccio una prova e ti posto il log se per te non ci sono problemi.

*) Puoi bloccare con un firewall (anche quello integrato in Vista purchè blocchi tutte le connessioni) le connessioni in uscita (TUTTE) e vedere tramite i nagscreen che apparirano quale applicativo si "lamenterà" e chiederà di accedere!
Questa è una cosa che vorrei provare prima di Ethereal così la faccio rientrare nella prova di Vista.

Mi sembri davvero molto ferrato nell'argomento. Ti terrò informato. Grazie mille per gli aiuti.

Tecno214
27-06-2007, 15.37.21
Ti ringrazio per i complimenti ma leggendo il forum mi sento moooolto indietro rispetto alla gran parte degli utenti.
Se frequenterai spesso il sito ti accorgerai che qui c'è moltissimo da imparare.
Veniamo a noi....

O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O16 - DPF: {036F8A56-0BC8-4607-8F98-D3231E6FF5ED} (CentraUpdaterAxCtl Class) - http://sym6.centra.com/SiteRoots/main/Install/win32/CentraUpdaterAx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C741DB8A-268C-4A19-9914-EAC5AEBCE1AE}: NameServer = 212.17.192.49

A parte che hai moltissimi valori in esecuzione automatica dei quali puoi benissimo fare a meno e alleggerire la macchina, vedasi il gruppo Messeger, il gruppo Office, la windows sidebar, per citartene alcuni.
Fixando le voci di quei gruppi non avresti alcuna controindicazione se non alleggerire la macchina.

PArtiamo dai miei sospetti...
*) Il primo, lo 01 per intenderci, non lo riconduco ad alcunchè di sensato..
REdireziona non so cosa sul localhost.
Prova a vedere cosa c'è dentro ai files C:\Windows\system32\drivers\etc\hosts e localhost aprendoli con Notepad

*) LA BHO fixala e vedi se dopo il riavvio del sistema ricompare..
Alcune attivita BHO sono da ricondurre ad alcunio virus anche conosciuti (alias Gromozon)

*) LA voce 016 non so cosa possa essere. Se pensi faccia parte di un programma che hai istallato mantienila, altrimenti fixala e vedi se ricompare dopo il riavvio + nuovo log!

*) la 017 SPERO sia l'indirizzo assegnato al tuo DNS altrimenti è una voce MOLTO SOSPETTA!
Controlla i settaggi DNS con ipconfig /all alla voce DNS oppure controlla nelle proprietà TCP-IP della scheda di rete se è presente quel numero....

Attendiamo anche pareri più autorevoli magari!

Dopodichè farei veramente la prova del Vista firewall, da lanciare da riga di comando tramite il comando

wf.exe

chiudendo TUTTE le connessioni!

Alexander_22
27-06-2007, 17.14.55
O1 - Hosts: ::1 localhost
Nel file Hosts c'è questo:
- ::1 localhost

Per me è sospetto! Comunque vediamo cosa succede eliminando quella riga.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Questa riga l'ho fixata perchè era sospetta anche a me, ma non penso sia il Gromozon perchè ho installato Virit che è il più valido nella individuazione/rimozione di quel Virus.

O16 - DPF: {036F8A56-0BC8-4607-8F98-D3231E6FF5ED} (CentraUpdaterAxCtl Class) - http://sym6.centra.com/SiteRoots/main/Install/win32/CentraUpdaterAx.cab
Questa qui invece l'ho fixata ma non avrei dovuto farlo. Mi sono ricordato solo dopo che era un ActiveX per le presentazioni Online dell'IBM. Vabbè, lo reinstallerò la prossima volta.

O17 - HKLM\System\CCS\Services\Tcpip\..\{C741DB8A-268C-4A19-9914-EAC5AEBCE1AE}: NameServer = 212.17.192.49
Si quell'indirizzo corrisponde al DNS del provider.

Per quanto riguarda i programmi in avvio automatico dall'msconfig non trovo nulla che abbia a che fare con l'Office o messenger. Comunque non è un grosso problema visto che si avvia molto velocemente anche con quelle applicaioni in automatico.
Ho fatto una scansione con SUPERAntiSpyware che mi ha trovato già 8 elementi. Spero di risolvere questo spreco enorme di banda, altrimenti nel fine settimana mi vedrò costretto a piallare tutto.
Ti ringrazio per i tuoi consigli veramente utili.
Alla prossima

Tecno214
27-06-2007, 18.33.11
Io farei una bella pulizia del file host lasciando solamente

127.0.0.1 localhost

Idem il file lmhost semmai ci fosse anche qui qualcosa!

Fixerei la relativa riga di hijackthis e procederei ad un riavvio + nuovo log per verificare che non si ripresenti nulla!

Dai anche una occhiata ai servizi in esecuzione e magari dimmi se trovi qualcosa che ti insospettisce.....

Il format??
No, questi sono i problemi che ti fanno crescere, fidati, con un format aggireresti il problema senza risolverlo (a meno di casi particolari....)

Alexander_22
27-06-2007, 19.07.05
Io farei una bella pulizia del file host lasciando solamente

127.0.0.1 localhost

Idem il file lmhost semmai ci fosse anche qui qualcosa!

Fixerei la relativa riga di hijackthis e procederei ad un riavvio + nuovo log per verificare che non si ripresenti nulla!

Dai anche una occhiata ai servizi in esecuzione e magari dimmi se trovi qualcosa che ti insospettisce.....

Il format??
No, questi sono i problemi che ti fanno crescere, fidati, con un format aggireresti il problema senza risolverlo (a meno di casi particolari....)

Infatti... La cosa che adoro dell'informatica è proprio questa. Si imparano tantissime cose e comunque hai sempre una soluzione che taglia la testa al toro (il format :) ).
Ho ripulito il file hosts e l'ho fixato successivamente. Ho rieseguito Hijack e non mi ha più riscontrato quella voce. In più ho bloccato tutte le connessioni in uscita e ho abilitato solo i programmi che mi interessavano senza utilizzare ISA ;) .
Prossimamente mi risentirò col provider per un ulteriore test e saprò dire di più.
Grazie ancora per tutto l'aiuto. :act:

Tecno214
28-06-2007, 10.05.17
Figurati....

Tienici informati degli sviluppi!