Подозрительный трафик службы имен NetBios

1534
Mouagip

Моя подруга недавно жаловалась на очень плохую работу интернет-соединения по локальной сети ее семьи. Очевидно, что интернет в большинстве случаев работал нормально, но некоторые веб-сайты (например, Facebook) работали очень плохо, а иногда вообще не работали. Кроме того, каждый вечер, казалось, происходило значительное падение производительности, что делало Интернет практически непригодным для использования.

Любопытствуя о причинах этих проблем, я некоторое время отслеживал сетевой трафик, видимый моей машине, и обнаружил подозрительный трафик. Каждую минуту хост Windows 7 транслировал 12 пакетов службы имен NetBios (один пакет в секунду), по-видимому, время от времени запрашивая древнюю машину с Windows XP, которая подключается к локальной сети (и Интернету ...). Пакеты выглядели так:

12:52:37.567533 IP (tos 0x0, ttl 128, id 17406, offset 0, flags [none], proto UDP (17), length 78) 192.168.0.2.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]  >>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST TrnID=0xBC60 OpCode=0 NmFlags=0x11 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=0 QuestionRecords: Name=HOSTNAME NameType=0x20 (Server) QuestionType=0x20 QuestionClass=0x1

Я читал, что NBNS используется некоторыми вредоносными программами, но антивирусное программное обеспечение Касперского хоста, отправляющего эти пакеты, не смогло найти ничего вредоносного. К сожалению, я не смог пока контролировать трафик всей сети, особенно после падения производительности вечером.

Может ли такое поведение быть вызвано вредоносным ПО, которое ищет уязвимые узлы в сети, чтобы заразить их и / или активирует себя в указанное время вечером, чтобы вызвать большой интернет-трафик? У вас сейчас такая вредоносная программа и как ее идентифицировать? Или я просто параноик, и это совершенно нормальное поведение (как вы можете сказать по большому опыту того, как выглядит нормальный сетевой трафик)?

3
Моя рекомендация состоит в том, чтобы провести больше исследований в этой области. Проверьте IP-адрес, который делает запрос, и следите за трафиком как можно лучше. Если это становится проблемой, вы всегда можете заблокировать трафик netbios с этого IP Geruta 8 лет назад 0

0 ответов на вопрос

Похожие вопросы