Премини към съдържанието
От 1-ви септември 2021 г., вход във форумите ще е възможен само с имейл адрес вместо потребителско име. Ако не помните имейла с който сте се регистрирали, вижте го в настройките на профила си. ×
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Съмнение за мрежови вируси/Flood?


Препоръчан отговор


Здравейте приятели, вчера надвечер бях оставил BitComet-а да тегли 2 торента от по 370МБ и 2ГБ,(на единия от

торентите съм му задал ръчно допълнително към 180 тракера защото торента е стар и няма лийчъри, а другия торент

(2гб) не съм му задавал нищо и беше приключил с даунлоуда и само ъплоудваше с към 200-500КБ/с). Когато се прибрах

вкъщи видях, че долу в дясно индикатора за интернета свети с жълт удивителен, а пробвам ли да заредя страница в

браузъра ми изписва, че нямам достъп до интернет. Изключих BitComet-а, пробвах пак да влезна в интернет но без

успех. Интернета съм си го платил. Пробвах с Enable/Disable на лан мрежата, рестарт на компютъра, нищо не помогна.

 

Свързан съм към интернет по следният начин: Моят комп<--NanobeamM5-16(в режим Router)<-NanoStation LocoM5(в режим

Access Point)<--от тук нататък незнам...

 

На BitComet-а Listen Порт-а ми е блокиран(свети в жълто), каквото и да правя не се отблокирва, говорил съм и по този въпрос с

доставчика и той ми обясни, че бил спрял нещо на някое устройство(предполагам рутер/суич), та ако се зарази моят

комп с нещо, да не иде и по другите компютри в града.

 

Свързах се с доставчика ми и му обясних какво става, неговият отговор беше следния:

"Че при мен имало проблем с някакъв софтуер и спирам нета на 9 човека, от някоя програма или мрежов вирус, било ми

забранено ИП-то директно от Пловдив, защото вечер никой няма интернет от UDP Flood от мойто IP от моят комп.

 

Имал  съм мрежови вируси, бил съм бъкан с мрежови вируси, това го виждал той(доставчика ми) и всички

програмисти от Пловдив. Нямало да ми спрат интернета така без нищо, мойто IP и моят комп ще продължат да създават

проблеми на всички доставчици, докато не си преинсталирам компа. Ако не си преинсталирам компа идва и ми сваля

утре антената(NanoBeam) за интернета."

Ето ги и логовете, предоставени от доставчика ми:

http://picbg.net/img.php?file=d351705a8bc7dff8.jpg

http://picbg.net/img.php?file=db394354ea216969.jpg

 

В "Speedtest.net" ми показва че ISP ми е NETERRA LTD.

Когато има проблем, идват техници от OPTILAN Пловдив.

Интернета го плащам на 3-то лице(тук съм го нарекъл доставчик)

  

Това ми се случва точно за втори път така доставчика да ми пише, че имам МРЕЖОВИ ВИРУСИ. Пусна ли биткомета с 2

торента, включително и този въпросен торент със ~ 180 тракера, който дори и не се сваля защото няма сийдъри

въпреки 180-те добавени ръчно тракери.

 

След кратка справка с Google видях, че тракерите са свързват точно по протокол TCP и UDP(какво съвпадение), пуснах

един Wiresharк от моят компютър при изключен и при включен BitComet, и наистина когато е включен торент клиента

има пакети по TCP и UDP, което мисля е съвсем нормално. При изключен BitComet нямам никакъв съмнителен трафик,

нито никакви UDB пакети, освен 1-2 пакета, които дори не са UDP през 10-15 секунди(предполагам комуникация между

lan картата ми и NanoBeam-a<--> Access Point-a.

Интернета си върви както винаги - 20 мбита даунлоуд/18мбита ъплоуд, ping 11 ms.(както винаги е вървял).

 

С конфигурацията от подписа ми съм, с последна версия/биос/фърмуеър/ъпдейти съм качил на всичко.
Дефинициите на "Windows Defender" са ъпдейтнати, сканирал съм и няма нищо, отделно съм сканирал с последна версия

на "Malwarebytes Anti-Malware" и няма нищо.

В "Task Manager-a" няма никаква странна активност.

 

Интересното в случая е, че точно само когато пусна да тегля нещо с BitComet и тоя въпросен торент със 180-те

тракера е пуснат, точно тогава доставчика ми пише.

 

Преинсталирах си Windows-а и сега боя да пусна торент за да не ми спрат интернета.
Възможно ли е това да става заради "Port Forwarding" "UPnP" или "NAT" конфигурирането?
Възможно ли е ако в моята антена(NanoBeamM5-16) airMAX Priority-то е зададено на HIGH, а на другите потребители да

е зададено на LOW, от това Access Point-a да заделя повече време и ресурси за мен, а другите потребители да остават без нет и от това да става тоя Flood/мрежови вируси?
Моля Ви, дайте ми някакъв съвет, препоръка или решение какво да правя, за да нямам подобни проблеми в бъдеще?

Всякаква информация ще ми е от полза.

Линк към коментара
Сподели в други сайтове

Щом доставчика ви твърди, че имате вирус му поискайте логове - в колко часа, към кое (кои) IP и на кой порт е въпросния трафик. След това определете какъв е вируса (ако изобщо има такъв) и го изчистете.

 

Съвсем друг е въпроса, че някои доставчици изобщо не обичат многото на брой конекции и често се оправдват с вируси за да режат "нахални" потребители дръзнали да ползват разни неща, които не са упоменати в договорите, че "не е хубаво" да се правят ...

Линк към коментара
Сподели в други сайтове

Доставчика ти случайно да не е булсата ? те имат навика да правят такива спирания и ограничения не съм чувал някой обикновен градски доставчик да спира ипто на клиента ,че и от него да идва флоод атаката . Можеш да ги съдиш ,че ти спират нета когато си искат .

Линк към коментара
Сподели в други сайтове

Пробвайте с друг торент клиент, като uTorrent например, и намалете броя на кънекциите. Много вероятно е да се включва някаква защита при доставчика и да ви спират трафика заради тези многото кънекции.

 

ПС: И е нормално да ви запушат порта на който слуша кометата, поради факта че смятат трафика който се генерира като флууд атака.

Линк към коментара
Сподели в други сайтове

Щом доставчика ви твърди, че имате вирус му поискайте логове - в колко часа, към кое (кои) IP и на кой порт е въпросния трафик. След това определете какъв е вируса (ако изобщо има такъв) и го изчистете.

 

Съвсем друг е въпроса, че някои доставчици изобщо не обичат многото на брой конекции и често се оправдват с вируси за да режат "нахални" потребители дръзнали да ползват разни неща, които не са упоменати в договорите, че "не е хубаво" да се правят ...

Добавих логовете към първия ми пост. Час обаче не пише, но това се беше случило 2 пъти в различни дни, точно когато ми беше пуснат BitComet-a.

 

Доставчика ти случайно да не е булсата ? те имат навика да правят такива спирания и ограничения не съм чувал някой обикновен градски доставчик да спира ипто на клиента ,че и от него да идва флоод атаката . Можеш да ги съдиш ,че ти спират нета когато си искат .

Не, не е Булсат. Всичко, което знам е това -

в "Speedtest.net" ми показва че ISP ми е NETERRA LTD.

Когато има проблем, идват техници от OPTILAN Пловдив.

Интернета го плащам на 3-то лице.

 

Пробвайте с друг торент клиент, като uTorrent например, и намалете броя на кънекциите. Много вероятно е да се включва някаква защита при доставчика и да ви спират трафика заради тези многото кънекции.

 

ПС: И е нормално да ви запушат порта на който слуша кометата, поради факта че смятат трафика който се генерира като флууд атака.

Благодаря за мнението.


Линк към коментара
Сподели в други сайтове

Добавих логовете към първия ми пост. Час обаче не пише, но това се беше случило 2 пъти в различни дни, точно когато ми беше пуснат BitComet-a.

 

А заглавия имат ли тези колонки или трябва да ги гадаем?

Линк към коментара
Сподели в други сайтове

Незнам аз съм имал вируси но такива неща за първи път чувам даже незнам дали и моя доставчик в добрич е правел подобни упражнения да спират нета на някой че имал вируси ала бала егати доставчика аз ако ми го спрът по тази причина и като се има предвид ,че е платен с кеф ще ги съдя до дупка и ще си търся правата.Те имаха наскоро флоод атаки масови но до сега не са обвинили клиент ,че от него иди атаката моя съвет е съди ги до дупка и им натроши офисчето. Пробвай с Utorent аз с Bitcomet имам само лоши спомени

Линк към коментара
Сподели в други сайтове

А заглавия имат ли тези колонки или трябва да ги гадаем?

Съжалявам, но това ми изпрати доставчика, това е всичко което знам, но мисля че e "TORCH" лог-а от MIKROTIK рутер. Пример 1Пример 2 от Google .

 

Незнам аз съм имал вируси но такива неща за първи път чувам даже незнам дали и моя доставчик в добрич е правел подобни упражнения да спират нета на някой че имал вируси ала бала егати доставчика аз ако ми го спрът по тази причина и като се има предвид ,че е платен с кеф ще ги съдя до дупка и ще си търся правата.Те имаха наскоро флоод атаки масови но до сега не са обвинили клиент ,че от него иди атаката моя съвет е съди ги до дупка и им натроши офисчето. Пробвай с Utorent аз с Bitcomet имам само лоши спомени

Това за трошенето на офиса е твърде крайно и неприемливо adersa. Иначе "µTorrent" е добра алтернатива, но естеството на проблема не се корени в торент клиента. С последна версия на "BitComet" нямам никакви проблеми пък и става за HTTP/FTP даунлоуд клиент, за това и не искам да го заменям с друго. Единствен недостатък на кометата е, че има лаг в интерфейса понякога.

 

Моля поправете ме ако бъркам някъде, но след кратка справка с Google, протокол UDP и порт 17 имат общо и за peer-to-peer връзките. "Това че протокол UDP и порт 17 са флагнати като ВИРУС, не значи, че вирус използва порт 17, но в миналото порт 17 е бил използван от ВИРУСИ/ТРОЯНЦИ за комуникация". Източник - Тук 

А защо споменавам порт 17? Защото спорих с доставчика ми. Той твърди че на този малък(17) порт има вируси. Аз пък мисля, че цялата тази какафония е от породена от BitComet / торент клиентите и протоколите които използват, като имаме напредвид и множеството request-и от и към BitComet.  А след поглед отново в  Google в този форум се зачетох в този пост от не чак толкова далечната 2007 и виждам, че някой се оплаква от подобно нещо. Казват му, че главни виновници може да са VOIP/TORRENT клиенти и че може да предотврати това, като си ъпдейтне фърмуеъра на рутера/модема или просто да изключи "UDP Flood log detection" опцията от Рутера. Споменато е също, че евтините рутери не обичали много множество торенти. 

 

Както и да е, намислих една алтернатива, ще говоря с доставчика ми да си направим тест - в момента съм преинсталирал Windows-a, ще пусна пак въпросния торент + още 1 случаен 2ГБ-тов торент за да пресъздам същата ситуация отново. Ще оставя торента за няколко часа и ще помоля доставчика да наблюдава лог-а.... да видим какво ще излезе. Ще пиша какво е станало, когато получа резултат.

 

Развитие на ситуацията 1: Изчиства се съмнението за мрежови вируси. Остава въпроса - Как да избегнем въпросния Flood ако Flood-a не е породен от Вируси/Троянци и прочие, без да се намалят конекциите.

Развитие на ситуацията 2: Имало е Вируси/Троянци и прочие. Край на сагата.

Линк към коментара
Сподели в други сайтове

Съжалявам, но това ми изпрати доставчика, това е всичко което знам, но мисля че e "TORCH" лог-а от MIKROTIK рутер. Пример 1Пример 2 от Google .

 

Това за трошенето на офиса е твърде крайно и неприемливо adersa. Иначе "µTorrent" е добра алтернатива, но естеството на проблема не се корени в торент клиента. С последна версия на "BitComet" нямам никакви проблеми пък и става за HTTP/FTP даунлоуд клиент, за това и не искам да го заменям с друго. Единствен недостатък на кометата е, че има лаг в интерфейса понякога.

 

Моля поправете ме ако бъркам някъде, но след кратка справка с Google, протокол UDP и порт 17 имат общо и за peer-to-peer връзките. "Това че протокол UDP и порт 17 са флагнати като ВИРУС, не значи, че вирус използва порт 17, но в миналото порт 17 е бил използван от ВИРУСИ/ТРОЯНЦИ за комуникация". Източник - Тук 

А защо споменавам порт 17? Защото спорих с доставчика ми. Той твърди че на този малък(17) порт има вируси. Аз пък мисля, че цялата тази какафония е от породена от BitComet / торент клиентите и протоколите които използват, като имаме напредвид и множеството request-и от и към BitComet.  А след поглед отново в  Google в този форум се зачетох в този пост от не чак толкова далечната 2007 и виждам, че някой се оплаква от подобно нещо. Казват му, че главни виновници може да са VOIP/TORRENT клиенти и че може да предотврати това, като си ъпдейтне фърмуеъра на рутера/модема или просто да изключи "UDP Flood log detection" опцията от Рутера. Споменато е също, че евтините рутери не обичали много множество торенти. 

 

Както и да е, намислих една алтернатива, ще говоря с доставчика ми да си направим тест - в момента съм преинсталирал Windows-a, ще пусна пак въпросния торент + още 1 случаен 2ГБ-тов торент за да пресъздам същата ситуация отново. Ще оставя торента за няколко часа и ще помоля доставчика да наблюдава лог-а.... да видим какво ще излезе. Ще пиша какво е станало, когато получа резултат.

 

Развитие на ситуацията 1: Изчиства се съмнението за мрежови вируси. Остава въпроса - Как да избегнем въпросния Flood ако Flood-a не е породен от Вируси/Троянци и прочие, без да се намалят конекциите.

Развитие на ситуацията 2: Имало е Вируси/Троянци и прочие. Край на сагата.

 

Ако доставчика ви твърди, че порта е 17, то ... със същия успех може да твърди, че PC-то ви е летяща чиния. Дори в примерите, които сте дали като логове от микротик се вижда, че това е протокол 17 (UDP), а порта стои зад : на IP-то. Във вашия случай това е порт 9678, който изобщо не е "малък" порт, защото за такъв обикновенно се считат портовете под 1024.

 

След като ползвате Windows можете лесно да разберете кой ползва въпросния порт. Стартирате cmd и пишете:

netstat -ano

след това гледате къде пише 0.0.0.0:9678 или 192.168.88.166:9678 или нещо такова. Там някъде трябва да има и колонка PID т.е. идентификатора на процеса, който го ползва. Виждате въпросния PID, след това пускате един Task Manager и изкарвате колонката с PID в списъка с процесите. Намирате търсения PID и ще видите програмата, която ползва въпросния порт. По всяка вероятно ще видите, че BitCommet го ползва.

Линк към коментара
Сподели в други сайтове

Съжалявам, но това ми изпрати доставчика, това е всичко което знам, но мисля че e "TORCH" лог-а от MIKROTIK рутер. Пример 1Пример 2 от Google .

 

Това за трошенето на офиса е твърде крайно и неприемливо adersa. Иначе "µTorrent" е добра алтернатива, но естеството на проблема не се корени в торент клиента. С последна версия на "BitComet" нямам никакви проблеми пък и става за HTTP/FTP даунлоуд клиент, за това и не искам да го заменям с друго. Единствен недостатък на кометата е, че има лаг в интерфейса понякога.

BitComet освен HTTP/FTP е и bittorrent клиент, но е ужасно тежък и бъгав, затова ви посъветвах да минете на uTorrent

 

 

Казват му, че главни виновници може да са VOIP/TORRENT клиенти и че може да предотврати това, като си ъпдейтне фърмуеъра на рутера/модема или просто да изключи "UDP Flood log detection" опцията от Рутера. Споменато е също, че евтините рутери не обичали много множество торенти.

Като цяло маршрутизаторите не обичат торент трафика заради многото кънекции които правят клиентите

 

 

Развитие на ситуацията 1: Изчиства се съмнението за мрежови вируси. Остава въпроса - Как да избегнем въпросния Flood ако Flood-a не е породен от Вируси/Троянци и прочие, без да се намалят конекциите.

Развитие на ситуацията 2: Имало е Вируси/Троянци и прочие. Край на сагата.

 

Прясно инсталирана ОС няма как да има вируси, освен ако някоя друга машина в мрежата ви е заразена и пръска зараза по мрежата. Има и такива гадинки, макар в случая не знаем дали се касае за това. Порт 17 няма специално предназначение, което може да навежда на мисълта за активна зараза.

Както ви казах пробвайте с uTorrent как стоят нещата, както и намалете броя на кънекциите.

 

Между другото аз съм имал такъв случай на мрежови вирус, който поразява останалите машини в локалната мрежа. Доста са упорити за премахване, най-често това са червеи които трудно се откриват. При троянските коне е малко по-сложен сцнария, защото в повечето случаи се изисква потребителя сам да го активира за да изпълни кода си. Отново казвам няма логика прясно инсталирана ОС да бъде заразена с каквото и да е, освен гореспоменатото. Последния вариант за който се сещам е самата ОС да е заразена с нещо ако е сваляна от тракер, но това пък съвсем не ми се вярва.

Линк към коментара
Сподели в други сайтове

Ако доставчика ви твърди, че порта е 17, то ... със същия успех може да твърди, че PC-то ви е летяща чиния. Дори в примерите, които сте дали като логове от микротик се вижда, че това е протокол 17 (UDP), а порта стои зад : на IP-то. Във вашия случай това е порт 9678, който изобщо не е "малък" порт, защото за такъв обикновенно се считат портовете под 1024.

 

След като ползвате Windows можете лесно да разберете кой ползва въпросния порт. Стартирате cmd и пишете:

netstat -ano

след това гледате къде пише 0.0.0.0:9678 или 192.168.88.166:9678 или нещо такова. Там някъде трябва да има и колонка PID т.е. идентификатора на процеса, който го ползва. Виждате въпросния PID, след това пускате един Task Manager и изкарвате колонката с PID в списъка с процесите. Намирате търсения PID и ще видите програмата, която ползва въпросния порт. По всяка вероятно ще видите, че BitCommet го ползва.

 

Всъщност, сега като се загледах в двата лога LOG1, LOG2, които ми изпрати доставчика, наистина доколкото си спомням, порта на BitComet-a ми беше 9678, а тази стойност - 17 (UDP) която е в "TORCH" лог-а на Микротик-а е НОМЕРА НА ПРОТОКОЛА в десетичната бройна система, а не НОМЕРА НА ПОРТАтова е много важна подробност!! Ето, като видим номерата на интернет протоколите дори и от Microsoft е посочено, че 17 (UDP) е номера на протокол UDP. Давам и втори пример от друг източник. Това според мен не са никакви мрежови вируси, поне в моят случай, поправете ме ако бъркам някъде. Защо си мисля така, защото:

 

1. Номера на порта(9678) на BitComet-a съвпада с порта от LOG-овете(от достачика ми), от които има UDP трафик.

2. Трафика е UDP - тракерите които ръчно съм добавил в BitComet-а, също започват със UDP://името на тракера.ком.....

3. Когато ми беше пуснат BitComet-a лично съм гледал трафика от и към моят компютър с Wireshark и единствено, само когато беше пуснат BitComet само тогава имаше UDP пакети.

4. Когато е изключен BitComet-a в Wireshark няма никаква  UDP активност.

5. Сканирал съм с мощен инструмент(Malwarebytes Anti-Malware v2.0.3.1025), а и с антивирус(Windows Defender) без да хване нищо съмнително.

Това са достатъчно доводи  в полза на тезата -  "Нямам мрежови вируси" (поправете ме ако греша)

 

Смятам темата за ичерпана :rolleyes:, благодаря на всички, които се включиха, изключително на mail123456 и techmaniac !

 

 

Линк към коментара
Сподели в други сайтове

Архивирана тема

Темата е твърде стара и е архивирана. Не можете да добавяте нови отговори в нея, но винаги можете да публикувате нова тема, в която да продължи дискусията. Регистрирайте се или влезте във вашия профил за да публикувате нова тема.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Подобни теми

    • от CaptainJord
      Здравейте, както си седях скайп и изведнъж някакъв човек ми пише по скайпа. Бях го блокирал защото искаше толкова категорично да говори с мен, но вчера го отблокирах просто ей така и аз не знам защо (до колко знам той е на 13). Нищо не сме си писали, но изведнъж интернета ми спряя. След като ми дойде, след някъде около 1 минута този човек ми писа "Нета проблеми има ли за сега". Знам, че няма как точно той да ме флуудне за винаги защото това изисква много мощни програми и буутери за което са нужни пари и разбиране. Моля помогнете да се защитя от поне един нормален флууд.
    • от Антон Ангелов80
      Имам проблем с торент не мога да сиидвам, смених достав4ика и от тогава по4наха проблемите. Дава ми  не е вклу4ен NAT-PMP UPnP а не съм барал нищо само смених достав4ика
    • от Seenoevil
      Здравейте търся торент програма , която да има опция преглед на филм преди да е свален напълно.
      БитКомет има такава опция но сваля филмът на части а не отначалото.
    • от rihijt0erfjkmgt
      Зравейте!
      Някой може ли да ми даде цялата защита, която се слага в iptables за филтриране на UDP пакетите. Не искам да ми блокирва UDP пакетите а просто да блокирва флудера. Тоест при някакъв лимит да го блокирва и т.н. Благодаря Ви!
    • от D101149
      Здравейте! Отворих си един сървър с WiFi обаче един ме флоодна и ме ''заплаши''   Въпросът ми е дали мога по някакъв начин да се защита от флоодване и дали може да стане нещо лошо на моята машина?  П.С заглавието съм го объркал не ''как може да се защитим на флоод-ване, а как може да се защитим ОТ флоод-ване'' 
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване