@Aricce

Как найти зараженный пк в корпоративной сети?

Здравствуйте, я начинающий системный администратор, работаю в больнице.(2 дня) )
Суть в чем - у нас канал интернета на 1гбит\с. Со всей больницы поступали жалобы на медленную работу интернета\локальной сети.
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
Есть мнение что заражен один или несколько пк( Касперский не обновлялся с 14 года, не работает с 17, лицензия есть до 20 года, но антивирь не может обновить базы, пока жду ответа от тех-поддержки необходимо своими руками со всем разобраться), необходимо найти какие именно пк заражены.
Поставил на сервер WireShark и NetworkMonitor, но что делать дальше? Да я перехватываю все соединения, но что с этим делать? Как проанализировать трафик, какие фильтры использовать чтобы найти жрущий трафик пк?
Upd: Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк. Хотя странно потому что сервак используется как шлюз к интернету, да и общие документы на нем.
Заранее спасибо.

UPD: Монитор трафика показал что процесс httpd.exe с порта 4904 наотсылал на 10 гигов трафика, 17 млн пакетов, 700bps и с порта 13624 примерно те же значения, как узнать с какого конкретно пк это идет?
  • Вопрос задан
  • 439 просмотров
Пригласить эксперта
Ответы на вопрос 4
Vedruge
@Vedruge
Сисадмин
Для этой задачи сниффер ставить совершенно необязательно. Хватит программки подсчета трафика на компах сети.

"10-Страйк: Учет Трафика" подойдет.
Особенно если есть права админа на сетевых компах (в домене, например), тогда можно будет опросить счетчики трафика по сети через wmi.
Ответ написан
tsklab
@tsklab
Системный администратор, программист
зараженный пк
Такой заразой может оказаться torrent-клиент.

Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
... канал интернета на 1гбит\с
... сервере показывает 15-20 мегабит в сек.
Значит дело в канале (включая оборудование до сервера), а не сервере.
Ответ написан
Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк.
Не факт.
Неизвестно как у вас построена сеть может кто-то выходит в интернет минуя ваш шлюз.

Как реализовано подключение к провайдеру? Оптика, витая пара? Куда физически приходит провод от првовайдера? Какое оборудование стоит между проводом провайдера и вашим шлюзом?
Ответ написан
@pxaJJ
Установите nmap. У него есть есть готовые сценарии поиска зараженных компьютеров.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы