iT邦幫忙

0

公司自從3月開始,輸出流量開始異常.不知為何?

因為3月公司有買進4台中古電腦(公司電腦全部都是中古的),所以我去查這4台電腦.但看不出異常..

我請我懷疑的那四台每天一台不關機(星期一~四),但流量都正常..

可是今天我看流量嚇了一跳....本來是上班才會有大量輸出流量..這周竟然誇張到離譜..尤其是下班時間電腦都關機了..

明明都沒電腦開機啊(server除外)...雖然我在4/13有新裝了一台win2008,4/19在這台上又裝了
sql2008+erp..可異常是在3月初就開始..應該不是我新莊的這台有問題吧~~

今天的流量超恐怖的

請問藍色流量到底是怎麼產生的??要怎麼檢查與排除啊???
公司除了mail,沒有對外的輸出啊?
目前頻寬是 1m/m 對稱式~~

6
CalvinKuo
iT邦大師 7 級 ‧ 2012-04-25 17:18:37
最佳解答

既然有資安艦隊提供的FG-60B就不要浪費
下載這個安裝在PC... 三十天試用 應該夠你查明原因了
Full functional 30 days Evaluation license for free trial.
http://www.manageengine.com/products/firewall/download.html
去FG-60B 把Log導到那台PC... (試過80C & 50A都OK)

magician iT邦研究生 2 級 ‧ 2012-04-27 09:24:08 檢舉

我馬上踹踹看

8
kelvin2
iT邦新手 4 級 ‧ 2012-04-23 14:13:51

用Sniffer軟體接在Core switch或Router上port mirror看看有啥不知名的流量在吃頻寬

看更多先前的回應...收起先前的回應...
magician iT邦研究生 2 級 ‧ 2012-04-24 10:11:56 檢舉

d-link DES-1024D 沒有port mirror功能

falcon iT邦新手 4 級 ‧ 2012-04-25 18:50:31 檢舉

找台Hub,讓要mirror的port流量流過,同時也把sniffer接上Hub即可。

cmwang iT邦高手 1 級 ‧ 2012-04-25 19:53:38 檢舉

falcon提到:
找台Hub,讓要mirror的port流量流過,同時也把sniffer接上Hub即可。

這年頭很難找到"純"HUB了吧OrzOrz....

falcon iT邦新手 4 級 ‧ 2012-04-25 20:29:20 檢舉

really?
應該很好找:http://shopping.pchome.com.tw/?mod=store&func=style\_show&SR\_NO=DRAF1I
(上為PCHome購物,純舉例非廣告)

falcon iT邦新手 4 級 ‧ 2012-04-25 20:31:21 檢舉

呃,搞笑了,那是USB hub...暈
請忽略上面連結Orz

6
CLF
iT邦新手 4 級 ‧ 2012-04-23 18:11:54

從防火牆的LOG上也可以看出一些問題~

magician iT邦研究生 2 級 ‧ 2012-04-24 11:27:50 檢舉

資安艦隊的fg60b...我竟然找不到log

magician iT邦研究生 2 級 ‧ 2012-04-24 14:01:13 檢舉

找到了...不過只能看到
Generic TCP
Generic UDP 這兩個過高....
資安艦隊竟然沒有儲存裝置...

8
cheng
iT邦好手 1 級 ‧ 2012-04-24 08:17:38

看來都是在上傳喔
這個看來比較像是對外攻擊
或是如果有架設MAIL的話
就是廣發垃圾郵件吧
如果沒有網管設備可以察看LOG
網路上很多免費的單機流量軟體

magician iT邦研究生 2 級 ‧ 2012-04-24 10:12:59 檢舉

單機流量軟體 要每台電腦都裝嗎??
有沒有哪一套可以推薦??

8
cmwang
iT邦高手 1 級 ‧ 2012-04-24 10:25:50

自己架一台linux放在LAN和GW間當bridge,然後跑ntop之類觀察觀察吧偷笑偷笑....

magician iT邦研究生 2 級 ‧ 2012-04-25 13:31:52 檢舉

恩~~我先研究一下怎麼裝btop.

6
jasonlin268
iT邦新手 1 級 ‧ 2012-04-24 11:32:19

可以使用currports軟體觀察本機對外的連線狀態,
或是安裝wireshark軟體抓取網路封包後,
再點選[Statistics] --> [Converstations],
可以更詳細看出網路連線的狀態。

因為貴公司有使用中古電腦,
所以如果有早期一般非Switch的HUB,
也可以臨時串接在Gateway上,
則可以從其他port抓取進出的封包。

另外提醒如果有架設無線網路AP,
也要注意是否有被侵入連線的問題。

magician iT邦研究生 2 級 ‧ 2012-04-25 13:33:40 檢舉

我先裝在server試看看。。

我公司沒無線

0
gsg29
iT邦新手 1 級 ‧ 2012-04-24 15:21:23

排除client端的電腦,可能就是你新上機的那台server吧
erp是公司自已寫的嗎?還是買的
是否會上傳資料到廠商那邊(備份?)

mail server有查看過log檔了嗎

magician iT邦研究生 2 級 ‧ 2012-04-25 13:56:20 檢舉

ERP是正航系統。。買的
新上機的server還在測試階段..所以沒備份。。。

linux 的mail log我不會看。。我等等google看看。。

4
nikan
iT邦新手 4 級 ‧ 2012-04-25 11:56:25

如果網路有區分server和client
可以用中斷網路的方式
監測流量是否有降下來
明確找出兇手
不然封包分析也是個方法
以你的內容來看
兇手應該是mail server
可能是被當跳板吧

magician iT邦研究生 2 級 ‧ 2012-04-25 13:38:26 檢舉

因為異常時間都是小弟上班的時間,目前只有一次是星期五到星期一忽然有對外大流量。。。
如果這樣mail server仍然被當為跳板媽???她也太準時了吧!!跳板不都是24小時被跳~~

我在新server 裝了wireshark在測流量了。。正在努力研究wireshark。。

0
daosheng
iT邦新手 5 級 ‧ 2012-04-25 13:46:29

防火牆規則一條條關掉然後觀察流量看看先!
這是我的建議,當然如果原本規則包含的來源範圍太大,則自行細拆規則抓毛病,因為forti的報表真的挺不容易看的~~~

magician iT邦研究生 2 級 ‧ 2012-04-27 09:23:04 檢舉

我家的防火牆沒有真正的rule..
到是在外面有一台linux做了防火牆該做的事...
原因我不清楚...但使得防火牆竟然不是用nat模式,而是使用穿透式模式...
這種模式我還真的不懂啊

0
pqr0007
iT邦研究生 1 級 ‧ 2012-04-26 19:15:23

今年, 除了網路流量輸出異常, 台北市的下雨量也異常!!...

magician iT邦研究生 2 級 ‧ 2012-04-27 09:24:56 檢舉

我的鞋子也是異常的濕~~哭

2
mytiny
iT邦大師 1 級 ‧ 2014-06-08 10:47:59

常常看到友邦有購買資安X隊後
雖然有送Fortigate產品
還是遇到很多資安問題與困擾
如果這樣把UTM拿來當IP分享器用
感覺真的不如當初找一家專業一點的廠商
跟他購買UTM產品並做好服務
預算還花的值得一點

關於所提問題,我有以下看法
Fortigate在設備初始值中
本就已經內定一條Internal(Lan)=> WAN1的防火牆政策
只是其中你有沒有購買UTM服務的授權
如果有UTM授權,
可以同時啟動AV,IPS,AC,WF功能
會有極佳的防護效果
(AC= Application control, WF= Web Filter)

如果需要找出問題的員工
記得要開啟UTM Log(特別在100以下的機型)
因為很多Log相關設定內建是disable,需要手動啟動
"常常定期"仔細觀察LOG記錄
不但可以發掘問題,
同時可以知道網路使用的情況
對公司管理網路有莫大的幫助

以上是小弟的淺見

我要發表回答

立即登入回答