دسترسی ناشناخته به شبکه

Printable View

2007-05-18, 10:27 AM
majestic

دسترسی ناشناخته به شبکه

[SIZE=3][COLOR=red]خطر خطر خطر[/COLOR][/SIZE][SIZE=3][/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]

[SIZE=3][/SIZE][CENTER][SIZE=3][COLOR=black]قابل توجه کلیه همکاران [/COLOR][/SIZE]
[CENTER][SIZE=3][COLOR=deepskyblue]بعد از 2 ماه برسی نطیجه مشکل پهنای باند معلوم شد[/COLOR][/SIZE][/CENTER]
[/CENTER]
[SIZE=3].[/SIZE]
[SIZE=3]کلیه IP Valid با کلی access list معلوم شد که از 1 پورت ناشناس که من تا خالا پیداش نکردم پرفرمنس پهنای باند این رنج از ای پی هارو 30 درصد کاهش میدهد .[/SIZE]
[SIZE=3]حتی nat با روتر و cisco هم جلوی این ارسال و دریافت خطر ناک رو نمی گیرد. انتی ویروس و پک های جدید ویندوز هم کارساز نیست. فایروال روی کلاینت ها هم فایده نداره فقط باید با 1 نت و فایروال [/SIZE]
[SIZE=3]مثل وینروت جلوی این داستان رو میگیره.[/SIZE]
[SIZE=3]راستی پهنای باند ورودی isp رو هم خیلی خفه میکنه.[/SIZE]
[SIZE=3]این ازمایش روی 5 تا isp تست شده و این مورد مشاهده شده.[/SIZE]
[SIZE=3]این لیست access list های تست شده می باشد.[/SIZE]
[SIZE=3].جدی بگیرید. [/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]

[SIZE=3][/SIZE][LEFT][SIZE=3]access-list 150 deny tcp any eq 1034 any[/SIZE]
[LEFT][SIZE=3]access-list 150 deny tcp any eq 1080 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any eq 1214 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any eq 2535 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any eq 1433 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any eq 3127 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any eq 2745 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any eq 4444 any[/SIZE]
[SIZE=3]access-list 150 deny udp any eq 1434 any[/SIZE]
[SIZE=3]access-list 150 deny udp any range 135 netbios-ss any[/SIZE]
[SIZE=3]access-list 150 deny tcp any range 1036 1037 any[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 81[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 445[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 1080[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq ident[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 1214[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 2745[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 5101[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 5554[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 6129[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 9996[/SIZE]
[SIZE=3]access-list 150 deny udp any any eq 1434[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 11768[/SIZE]
[SIZE=3]access-list 150 deny tcp any any eq 15118[/SIZE]
[SIZE=3]access-list 150 deny tcp any any range 1022 1025[/SIZE]
[SIZE=3]access-list 150 deny tcp any any range 135 139[/SIZE]
[SIZE=3]access-list 150 deny udp any any range 135 netbios-ss[/SIZE]
[SIZE=3]access-list 150 permit ip any any[/SIZE][/LEFT]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]
[LEFT][SIZE=3]ip access-list extended Filter[/SIZE]
[SIZE=3]deny tcp any any eq sunrpc[/SIZE]
[SIZE=3]deny tcp any any eq 135[/SIZE]
[SIZE=3]deny tcp any any eq 137[/SIZE]
[SIZE=3]deny tcp any any eq 139[/SIZE]
[SIZE=3]deny tcp any any eq 445[/SIZE]
[SIZE=3]deny tcp any any eq 530[/SIZE]
[SIZE=3]deny tcp any any eq 593[/SIZE]
[SIZE=3]deny tcp any any eq 747[/SIZE]
[SIZE=3]deny tcp any any eq 1500[/SIZE]
[SIZE=3]deny tcp any any eq 2500[/SIZE]
[SIZE=3]deny tcp any any eq 4444[/SIZE]
[SIZE=3]deny udp any any eq sunrpc[/SIZE]
[SIZE=3]deny udp any any eq 135[/SIZE]
[SIZE=3]deny udp any any eq netbios-ns[/SIZE]
[SIZE=3]deny udp any any eq netbios-ss[/SIZE]
[SIZE=3]deny udp any any eq 445[/SIZE]
[SIZE=3]deny udp any any eq 530[/SIZE]
[SIZE=3]deny udp any any eq 593[/SIZE]
[SIZE=3]deny udp any any eq 747[/SIZE]
[SIZE=3]deny udp any any eq 2500[/SIZE]
[SIZE=3]deny udp any any eq 4444[/SIZE]
[SIZE=3]deny tcp any eq sunrpc any[/SIZE]
[SIZE=3]deny tcp any eq 135 any[/SIZE]
[SIZE=3]deny tcp any eq 137 any[/SIZE]
[SIZE=3]deny tcp any eq 139 any[/SIZE]
[SIZE=3]deny tcp any eq 445 any[/SIZE]
[SIZE=3]deny tcp any eq 530 any[/SIZE]
[SIZE=3]deny tcp any eq 593 any[/SIZE]
[SIZE=3]deny tcp any eq 747 any[/SIZE]
[SIZE=3]deny tcp any eq 1500 any[/SIZE]
[SIZE=3]deny tcp any eq 2500 any[/SIZE]
[SIZE=3]deny tcp any eq 4444 any[/SIZE]
[SIZE=3]deny udp any eq sunrpc any[/SIZE]
[SIZE=3]deny udp any eq 135 any[/SIZE]
[SIZE=3]deny udp any eq netbios-ns any[/SIZE]
[SIZE=3]deny udp any eq netbios-ss any[/SIZE]
[SIZE=3]deny udp any eq 445 any[/SIZE]
[SIZE=3]deny udp any eq 530 any[/SIZE]
[SIZE=3]deny udp any eq 593 any[/SIZE]
[SIZE=3]deny udp any eq 747 any[/SIZE]
[SIZE=3]deny udp any eq 1500 any[/SIZE]
[SIZE=3]deny udp any eq 4444 any[/SIZE]
[SIZE=3]permit ip any any[/SIZE]
[SIZE=3]deny tcp any any eq 1434[/SIZE]
[SIZE=3]deny udp any any eq 1434[/SIZE]
[SIZE=3]deny udp any any eq ntp[/SIZE][/LEFT]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][/SIZE]
[CENTER][SIZE=3]لینک قبلی : [/SIZE][URL="http://forum.persiannetworks.com/showthread.php?t=16225"][SIZE=3]http://forum.persiannetworks.com/showthread.php?t=16225[/SIZE][/URL][/CENTER]
[/LEFT]
2007-05-18, 11:55 AM
Hakimi

شما باید کمی دقیق تر بررسی کنید که از کدام Port این اشغال پهنای باند صورت می گیرد. آنگاه می توانید بفهمید مشکل از کجاست.
همچنین می توانید با یک Traffic Analyzer بررسی دقیق روی ارسال و دریافت ها انجام دهید تا سیستمی که دچار مشکل شده است را پیدا کنید.

اشاره کردید که NAT روی Router جلوی این مشکل را نگرفته است، دلیلش این است که کار NAT جلوگیری از برقراری ارتباط و ارسال و دریافت نیست. پس با هر ابزاری هم که NAT کنید، باز هم مشکل خواهید داشت.

با بستن این Port هایی که در این Access-List آمده است مشکلتان حل شده؟
برخی از این Port ها که شناخته شده هستند و قاعدتا به صورت پیش فرض باید محدود شوند، ولی برخی دیگرشان باید مورد بررسی قرار گیرند تا متوجه شویم برای چه کاری مورد استفاده قرار می گیرند.

راستی در انتهای ACL تان (با نام Filter) سه خط هستند که در این ACL نادیده گرفته می شوند، چرا که پایین تر از Permit IP Any Any قرار دارند.

پیروز باشید.
2007-05-18, 12:35 PM
darklove

اینا رو بردار
[CODE]
[SIZE=3]access-list 150 permit ip any any[/SIZE]
[SIZE=3]permit ip any any[/SIZE]
[/CODE]
2007-05-18, 12:51 PM
aka

یعنی چی ؟
یعنی با این access-list درست میشه؟
2007-05-18, 02:18 PM
darklove

[CODE]
interface Group-Async0
ip unnumbered Ethernet0
ip access-group Virus in
ip access-group Virus out
ip nat inside
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map dark
async mode interactive
peer default ip address pool test
fair-queue
compress mppc
ppp authentication pap chap
group-range 1 31

ip access-list extended Virus
deny tcp any any eq sunrpc
deny tcp any any eq 135
deny tcp any any eq 137
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 530
deny tcp any any eq 593
deny tcp any any eq 747
deny tcp any any eq 1500
deny tcp any any eq 2500
deny tcp any any eq 4444
deny udp any any eq sunrpc
deny udp any any eq 135
deny udp any any eq netbios-ns
deny udp any any eq netbios-ss
deny udp any any eq 445
deny udp any any eq 530
deny udp any any eq 593
deny udp any any eq 747
deny udp any any eq 2500
deny udp any any eq 4444
deny tcp any eq sunrpc any
deny tcp any eq 135 any
deny tcp any eq 137 any
deny tcp any eq 139 any
deny tcp any eq 445 any
deny tcp any eq 530 any
deny tcp any eq 593 any
deny tcp any eq 747 any
deny tcp any eq 1500 any
deny tcp any eq 2500 any
deny tcp any eq 4444 any
deny udp any eq sunrpc any
deny udp any eq 135 any
deny udp any eq netbios-ns any
deny udp any eq netbios-ss any
deny udp any eq 445 any
deny udp any eq 530 any
deny udp any eq 593 any
deny udp any eq 747 any
deny udp any eq 1500 any
deny udp any eq 4444 any
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq ntp

access-list 150 deny tcp any eq 1034 any
access-list 150 deny tcp any eq 1080 any
access-list 150 deny tcp any eq 1214 any
access-list 150 deny tcp any eq 2535 any
access-list 150 deny tcp any eq 1433 any
access-list 150 deny tcp any eq 3127 any
access-list 150 deny tcp any eq 2745 any
access-list 150 deny tcp any eq 4444 any
access-list 150 deny udp any eq 1434 any
access-list 150 deny udp any range 135 netbios-ss any
access-list 150 deny tcp any range 1036 1037 any
access-list 150 deny tcp any any eq 81
access-list 150 deny tcp any any eq 445
access-list 150 deny tcp any any eq 1080
access-list 150 deny tcp any any eq ident
access-list 150 deny tcp any any eq 1214
access-list 150 deny tcp any any eq 2745
access-list 150 deny tcp any any eq 5101
access-list 150 deny tcp any any eq 5554
access-list 150 deny tcp any any eq 6129
access-list 150 deny tcp any any eq 9996
access-list 150 deny udp any any eq 1434
access-list 150 deny tcp any any eq 11768
access-list 150 deny tcp any any eq 15118
access-list 150 deny tcp any any range 1022 1025
access-list 150 deny tcp any any range 135 139
access-list 150 deny udp any any range 135 netbios-ss

[/CODE]
2007-05-19, 04:57 PM
nkm

منم يه همچين مشكلي بر خوردم
ولي با اكسس ليست مشكلم حل نميشه
من شديدا احساس ميكردم كه ويروس يا برودكس شبكه هست
پس از كليه كلنجار متوجه شدم كلاينتهام به يه نوع تروجان آلوده هستند كه با گرفتن IP سرور بار DNS را زياد ميكنن

چيزي هم نيست
ميتونيد كه ديدن برنامه هاي در حال اجرا كه ايشون هم يك دستور ساده CMD هست اون را ببينيد