С моего компа якобы идёт flood

 

Darth

опытный

Здравствуйте, уважаемые компьютерщики!

За последнюю неделю меня два раза отключали от Интернета. Провайдер утверждает, что с моего компа идёт флуд, выражающийся в одновременном открытии соединений числом в "несколько десятков".

После первого раза я с удивлением обнаружил по TCPView, что процесс CLI.EXE, являющийся составной частью драйверов видеокарты ATI Radeon, растиражировал себя в 30 экземплярах, каждый из которых действительно открыл соединение с "localhost" по разным портам. В принципе, этот процесс имеет право устанавливать соединения, но только два.

Недолго думая, в качестве временной меры я запретил его загрузку. Затем проверил систему последним Нортоном и SpyBot'ом с наисвежайшими обновлениями, которые ничего не нашли. На этом я успокоился, но продолжал контролировать трафик по TCPView. С моей точки зрения всё было нормально, но проблема повторилась.

На компе постоянно запущен eMule v. 0.47a, но этот же самый еМуль работал уже на протяжении полугода, не вызывая со стороны провайдера нареканий. Сам я тоже в последнее время не менял стиля работы в Интернете и, следовательно, не мог два раза подряд осуществить какие-либо экстраординарные действия, которые привели бы к аномальной нагрузке на сервер.

В связи с вышеизложенным ряд вопросов имею:

1. Чем, кроме SpyBot'a, посоветуете проверить систему на наличие троянов?
2. Чем, кроме TCPView, можно воспользоваться для контроля за исходящим трафиком?
3. Какой файрволл поставить? Сейчас стоит встроенный XP-шный. Раньше был Outpost, до этого – Norton Internet Security, ещё раньше – BlackICE, но все они вносили в систему разную сумятицу, причем каждый – свою :). Пришлось снести…

ОС WinXP SP2 Rus (давно не обновлявшаяся). Пользуюсь IE 6, но чаще – Оперой 7.

Спасибо заранее!
 
+
-
edit
 
Попробуй Zone Alarm.
Пытаясь понять рекурсию, следи за тем, чтобы она не поняла тебя первой...  

Darth

опытный

Да тоже пробовал, забыл указать. Он у меня время от времени ни с того ни с сего полностью блокировал доступ к HTTP, что лечилось только перезагрузкой :) Но это, конечно, были достаточно древние версии.

Мне же, собственно, от файрволла сейчас в большей степени ведение информативного лога требуется, нежели сама "защита информации".
 
+
-
edit
 

Balancer

администратор
★★★★☆
Попробуй поставить бесплатную версию NetLimiter - The Ultimate Bandwidth Shaper

Он покажет попроцессный трафик, кто сколько генерит, на какие IP и т.п.

Очень удобная штука для отслеживания ответов на вопрос "откуда такой трафик?"
 

Darth

опытный

О! То, что надо, Ром, спасибо :)
 
+
-
edit
 

AGRESSOR

литератор
★★★★★

Dr.Web CureIt! — download free anti-virus! Cure viruses, Best free anti-virus scanner!

Dr.Web CureIt!®
Do you have anti-virus software installed on your computer, but still worry about its effectiveness?
Run Dr.Web CureIt!® (no need to install it) to quickly scan your computer and cure it of any malicious objects.
How will I find out if my computer has been infected?
Download Dr.Web CureIt!.
Double-click on the downloaded file.


// Дальше —
www.freedrweb.com
 


Вот неплохая прога. Всего 4,7 Мб, а эта кроха отловила мне три трояна, с которыми большой антивирь не справился. Качать Dr.WEB CureIt...
Трудно искать черную кошку в темной комнате, особенно если ее там нет. Это тем более глупо, если эта кошка умная, смелая и вежливая.(с) С.К.Шойгу.  
RU Серокой #26.09.2006 16:57
+
-
edit
 

Серокой

координатор
★★★
Balancer> Очень удобная штука для отслеживания ответов на вопрос "откуда такой трафик?"
Да, но в окошке stat только суммарный трафик, а не кто сколько накачал. А вообще то же самое любой вменяемый фарволл кажет.
Больше не раскалятся ваши колосники. Мамонты пятилеток сбили свои клыки. ©  
+
-
edit
 

Balancer

администратор
★★★★☆
Серокой> Да, но в окошке stat только суммарный трафик, а не кто сколько накачал.

Жаль, значит, нужно искать полную версию. У меня полная, хотя и довольно древняя. Показывает попроцессный трафик. И даже его статистику ведёт.

Наверное, тогда

ed2k: NetLimiter_Pro_2.0.8-=(E.D)=-MCS.rar [2,6МБ]
или
ed2k: Netlimiter Pro v2.0.8 Cracked By Rototo.rar [3,02МБ]

или

IMHO.WS

IMHO.WS, форум, IMHO

// imho.ws
 
 

Darth

опытный

Купил вчера диск с кучей прог по сабжу.

Поставил ZA 6.xx. Снёс – "блок регистрации полётных данных" не понравился :). Поставил Tiny Firewall. Чё-то тоже не впечатлил, интерфейс подозрительно простой какой-то. Да и доверчивый он больно – с ходу кучу программ в Trusted записал. В том числе те, которым я совсем не trust :) И чего это его РС Magazine самым файрвольным файрволлом 2005 года назвал?..

Подумываю о Norton Internet Security 2005. Он интегрирован с NAV и модулем Antispyware. На первый взгляд выглядит внушительно. С другой стороны, NIS 2004 не то чтобы сильно понравился в своё время. Что думаете?
 
+
-
edit
 

AGRESSOR

литератор
★★★★★
Outpost Firewall ставьте! Хорошая вещь.
Трудно искать черную кошку в темной комнате, особенно если ее там нет. Это тем более глупо, если эта кошка умная, смелая и вежливая.(с) С.К.Шойгу.  
+
-
edit
 

Mishka

модератор
★★☆

Я для отслеживания коннектов пользуюсь ActivePorts. Для анализа траффика — Ethereal.

Ктстати, мул создает огромное количество соединений. Какая очередь, сколько конектов в секунду разрешено? Сколько файлов в наличии в расшарке? Сколько качаешь? Если у тебя в очереди разрешено 5,000 клиентов, то это, потенциально 10,000 соединений — 5,000 по TCP и 5,000 по UDP и это не считая того, что все остальные, которые пытаются присоединиться получают отлуп и отваливают.
 
+
-
edit
 

foogoo

опытный

Darth> На компе постоянно запущен eMule v. 0.47a, но этот же самый
Последняя версия: eMule v. 0.47c
 

Darth

опытный

Mishka

> Какая очередь, сколько конектов в секунду разрешено?

Сейчас очередь до момента отключения успела заполниться до 50-100, раньше бывало несколько сотен. Число коннектов в секунду снизил с 25 по умолчанию до 10. Скорость на раздачу – 10 кБ/с. Не помогает :)

> Сколько файлов в наличии в расшарке?

Штук 500 (точно не помню, не из дома пишу – Интернета-то нет :)). А какая разница?

> Сколько качаешь?

Когда отрубило последний раз, качал 1 (!), а отдавал 4. В прошлом качал и отдавал по 10-15 штук одновременно, при том, что ещё в Регете закачек штук 10 было, да в Опере иной раз по 30-40 окон с закачкой картинок открывал – и хоть бы что! А тут вдруг...

foogoo

> Последняя версия: eMule v. 0.47c

Да, спасибо, он мне об этом уже давно напоминал. На днях перешел на новую. Но недолгим оказалось счастье :)
 
+
-
edit
 

Mishka

модератор
★★☆

Darth> Mishka
>> Какая очередь, сколько конектов в секунду разрешено?
Darth> Сейчас очередь до момента отключения успела заполниться до 50-100, раньше бывало несколько сотен. Число коннектов в секунду снизил с 25 по умолчанию до 10. Скорость на раздачу – 10 кБ/с. Не помогает :)

Многие провайдеры начинают мониторить peer-to-peer траффик. Это может быть следствием этого.

>> Сколько файлов в наличии в расшарке?
Darth> Штук 500 (точно не помню, не из дома пишу – Интернета-то нет :)). А какая разница?

Да дело в том, что потенциально 500 файлов — это дофига коннектов. Да и ты можешь шариться по многим серверам и клиентам в поиске файла. Если стоит ограничения для источников 500 — это до 1000 коннектов.

>> Сколько качаешь?
Darth> Когда отрубило последний раз, качал 1 (!), а отдавал 4. В прошлом качал и отдавал по 10-15 штук одновременно, при том, что ещё в Регете закачек штук 10 было, да в Опере иной раз по 30-40 окон с закачкой картинок открывал – и хоть бы что! А тут вдруг...

Так отрубило-то весь инет или только мула? Порты менять не пробовал? Некоторые не очень умные провайдеры мониторят по портам, а не по содержимому траффика. Можешь попробовать перейди на микроторрента (клиент для битторрента такой) и потребовать шифрованный траффик — тогда контент мониторинг у провайдеров отпадает.

Но, все-таки, проверь при помощи программок — от кого и какие соединения идут с твоего компа.

Darth> foogoo
>> Последняя версия: eMule v. 0.47c
Darth> Да, спасибо, он мне об этом уже давно напоминал. На днях перешел на новую. Но недолгим оказалось счастье :)

Не, я торчу на предыдущем — в этом они много нафигачили такого, что мне не нравиться.
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru