Depois que você pegar esse arquivo, abre no wireshark para verificar com mais calma.
Certamente você vai achar muito protocolo UDP. Isso está com cara de Torrent. Se for, creio que você terá que configurar o snort na sua interface LAN Em 7 de agosto de 2014 09:27, Marcio S - Aker <[email protected]> escreveu: > Bom dia pessoal.....alguams noticias..... > Como comentei tem perdiodos de tranquiladade, ontem a atividade nos > graficos RRD da lan nao chegou a 3 mb....ja a partir da 1 H de hoje foi > pros 100 Mb e permanece. > Na interface Wan nao tem trafego grande....um que outro pico de saida de > quase 6 Mb > Se vou verificar no Traffic Graph em tempo real na lan, ta em 100/150 Mb ( > em rajadas de picos), se coloco a opcao de Filter local nao lista nenhum ip > da rede interna com grande fluxo. Se colo o filter para All aparecem > diversos ips 121.40.90.xx...113.17.169.xx 116.10.xx.xxx com Bandith In de > 25 M Bits/sec .... Mesmo com o pfbloquer ativo pra todos os ips chineses > tanto na lan quanto wan > Bom...rotedei o tcpdump com a sintaxe: (re1 mina interface LAN) > tcpdump -nai re1 -s0 -w /var/tmp/capture2.pcap > > E em menos de 20 minutos rodando o arquivo ja tava com 7 Gb ( Rodei quando > o trafego na lan estava alto pra tentar pegar ...), o que ficou de > impossivel de fazer o download ( ainda estou fora da empresa). > > Deixei somente rodando por uns 3 minutos e consegui uma arquivo de 50 > Mb......Mas nada de ips chineses nele.... > > E a briga segue..... > > Abs. > > > > From: [email protected] > > Date: Mon, 4 Aug 2014 14:24:41 -0300 > > To: [email protected] > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > Marcio, você pode usar o TCPDUMP que vem nativo no pfsense. > > > > coloca ele pra salvar um arquivo e depois abre com o Wireshark > > > > > > Em 4 de agosto de 2014 14:18, Marcio S - Aker <[email protected]> > escreveu: > > > > > Bom, passar o malwarebytes removeu algumas ameaças mas nao resolveu o > > > problema. > > > Interessante qeu tem momentos de "silencio" agora entre 12 e 14 Hs o > > > trafego na lan caiu pra menos de 1 Mb ( que é o normal) > > > No meio da semana devo retornar para a empresa. Como sugeriod pelo > Paulo > > > quero colocar uma maquina entre a lan e o pfsense para capturar o > > > trafego.... > > > Qual seria a melhor opcao? Uma maquina com livecd de linux e duas > placas > > > de rede? Colocar o pfsense como bridge nessa maquina ( > > > https://forum.pfsense.org/index.php?topic=50711.0 ) ? > > > Obrigado e abraços. > > > > > > > > > > From: [email protected] > > > > To: [email protected] > > > > Date: Fri, 1 Aug 2014 09:40:06 -0300 > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > Bom dia Paulo, nao cosnegui fazer a captura pois estou fora da > empresa > > > por alguns dias, pois precisarai colocar uma maquina entre a rede e o > > > pfsense pra fazer a captura. Pedi para a outra pessoa que cuida da > parte do > > > sistema ( sistema web java que roda num dos servidores) e da > manutencao dos > > > servidores para fazer uma varredura. Ela passoo o malwarebytes, e no > > > servidor que tem o sistema encotrou 9 pragas, entre elas trojas. No > outro ( > > > que é somente servidor de arquivo) somente 1. Vamos ver se era somente > isso > > > > Ja mandei novamente e-mail aa direção informando da necessidade da > > > compra de um bom sistema anti-virus ( ja havia avisado antes, mas nao > > > quiseram comprar). > > > > > > > > Mas vou seguir minha luta no pfsense....deixar ele mais restrito e > ver > > > se realmente vai melhorar e se eram so esses dois servidores com > problema. > > > > > > > > Sera que o Snort ou Suricata me ajudaria nessa briga? > > > > > > > > Abraços > > > > > > > > > Date: Thu, 31 Jul 2014 18:42:12 -0300 > > > > > From: [email protected] > > > > > To: [email protected] > > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > > > Amigo, boa noite! > > > > > Pelo visto vc tem algo errado na sua rede, algum cavalo de tróia ou > > > alguma > > > > > botnet ou algum serviço oculto em seus servidores.... > > > > > Como sugestão faça a captura do tráfego de rede, antes da LAN do > > > pfsense, > > > > > mas que concentre todo o tráfego de sua rede.... salve esse tráfego > > > como > > > > > .pcap use o tcpdump para isso e depois abra no wiresahrk e > procure os > > > ips > > > > > que vc já sabe que são para os chineses.... quando abrir o pacote > ip > > > você > > > > > saberá a origem (src) e o destino (dst) do pacote. > > > > > > > > > > > > > > > Em 31 de julho de 2014 13:45, < > [email protected]> > > > > > escreveu: > > > > > > > > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > -- .................................................................. Atenciosamente Victor França Analista de Suporte EW Informática Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. +55 21 93203 - 0368 (Opção 5) +55 21 99936 - 7575 (VIVO) e-mail: [email protected] GTalk: [email protected] _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
