ارسال و دريافت غيرعادي در AS5300

[degdow]

سلام
يك دستگاه AS5300 با IOS ver 12.1(8) دارم كه اخيرا يك مشكلي پيدا كرده كه نتوانستم علتش رو بفهمم. مشكل به اين صورت است كه دستگاه تا بحال 3 مرتبه در فواصل چند روز بمدت حدود 10 دقيقه بطور ناگهاني شروع به ارسال و دريافت غير عادي ميكند و بعد بحالت عادي برميگردد. فكر كردم قضيه موردي بوده تا اينكه امروز هم تكرار شد و هم از نظر زمان و هم ميزان ارسال دريافت بمراتب از 2 دفعه قبل بيشتر بود كه گراف آن را بعنوان آواتار گذاشته ام (چون انجمن امكان ارسال فايل ضميمه ندارد!)
اينكار توسط مشتركين دايال آپ انجام نميشود چون حتي اگر جلوي ورود آنها را هم بگيريم بازهم ادامه دارد!
از كامپيوترهاي شبكه هم نيست چون با خارج كردن آنها از شبكه مشكل حل نميشود!
هر چه هست از طريق اينترنت است چون به محض قطع كردن خط ارسال و دريافت غيرعادي هم قطع ميشود. اول فكر كردم شايد كسي در حال استخراج اطلاعات مشتركين است ولي در اينصورت بايد ارسال زياد باشد و نه دريافت در حالي كه هر دو با هم بالا ميرود. ضمنا حتي با قطع كردن كامپيوتر صورتحساب از شبكه باز هم ارسال و دريافت ادامه دارد.

از دوستان عزيزي كه به هر نحوي راهنمايي بفرمايند پيشاپيش متشكرم

 

[Nazem]

سلام

1- دوست عزيز به احتمال زياد ويروس است ( يا كاربر تلفني يا LAN ) كه بايد پورت هاي مربوطه رو ببندي.

2- اگر احساس مي كني كسي از بيرون وصل ميشه Pass رو عوض كن.

3- ممكنه كسي از طريق SNMP وصل بشه ( براي خراب كاري ) بايد تنظيماتش رو چك كني.

4- ممكنه IOS شما HTTP server رو داشته باشه يعني از طريق web بشه كنترلش كرد كه بهتره غير فعال بشه.

 

[degdow]

سلام
ممنون از اينكه جواب دادين - راستش رو بخواين ديروز كه اين پست رو فرستادم يك مورد رو اشتباه كرده بودم كه آخر شب متوجه شدم و اون اينكه وقتي كامپيوترهاي مختلف رو يكي يكي از شبكه خارج ميكردم تا ببينم اشكال از كدوم هست squid - cache از قلم افتاده بود (بيشتر به خنگ بازي ميخوره تا اشتباه!) كه همون ديشب فهميدم و از مدار خارجش كردم و فكر كنم حدس شما در مورد ويروس درست باشه ولي نميتونم تحليل كنم كه چه جور ويروسي هست كه در ارتباط با AS5300 عمل ميكنه؟ چون ديروز با خارج كردن AS5300 از مدار ارسال و دريافت متوقف شد كه روي گراف هم ديده ميشه در حالي كه linux ويروسي در مدار بود و بلافاصله پس از وصل كردن مجدد AS5300 ارسال و دريافت دوباره بالا رفت!
ضمنا http server غيرفعال هست و snmp كليد غير پابليك داره و فقط براي يك IP (كامپيوتر صورتحساب)توسط access list تعريف شده. پورتهاي معروف هم با access-list هم روي مشتركين dialup هم lan و هم روي روتر gateway بسته است.
فعلا linux رو گذاشتم با همون bitdefender كه همين امروز هم آپديت كردم scan كنه ببينم غير از فايلهاي كاربرها آيا فايلهاي سيستمي هم آلوده هست يا نه؟ و نتيجه رو فردا همينجا بگذارم.

مجددا از اين كه راهنمايي كرديد خيلي تشكر ميكنم و ممنون ميشم اگر تا حل كامل مشكل به كمكتون ادامه بديد.

 

[Nazem]

خيلي وقت پيش بود يه ويروس براي سيسكو اومده بود فكر نمي كنم از اون باشه! ولي اگه از اون باشه با عوض كردت IOS حل ميشه ftp://ftp.douran.com/Packages/VoIPutil/IOS/Cisco/AS5300/EnterprisePlus/c5300-js-mz.122-13.T.zip

يه سوال:

1- وقتي 5300 رو خارج مي كني كاربر ها هم قطع ميشن؟
2- Cache اي پي وليد داره؟ و اگه داره طوري تنظيم شده كه فقط به اي پي هاي خودتون جواب بدن؟

 

[degdow]

سلام
cache و بطور كلي lan از valid ip استفاده ميكنن ولي dialupها nat هستند. accesslist هاي squid هم فقط اجازه كار به IPهاي شبكه خودمون رو ميده. فايلهاي داخل cache ويروس داشت (هنوز هم داره چون فعلا حذف نكردم!) ولي فايلهاي سيستمي linux آلوده نبود. فعلا دوباره امروز صبح گذاشتمش تو مدار ولي موظبش هستم.
تا حالا هيچ سيستم تحت ويندوز ويروسي نداشتم چون خيلي احتياط ميكنم حتي وقتي كه sql slammer خيلي جاها رو خوابوند مشكلي واسم پيش نيامد چون سرويس پك 3 رو قبلش نصب كرده بودم و access list هاي روتر هم برقرار بود ولي به لينوكس تسلط ندارم. فقط بخاطر squid نصب كردم و راستش تا حالا هم مشكلي نداشته و حدود يكسال هست كه حتي restart هم نشده ولي الان ...

 

[Nazem]

سلام

1- وقتي 5300 رو خارج مي كني كاربر ها هم قطع ميشن؟ ( اگر قطع ميشن ممكنه كه سند و رسيو از
كاربرها باشه و نه از Router )

2- IOS رو عوض كردي؟

 

[degdow]

سلام
البته از آخرين پست تابحال اين مورد مجددا بروز نكرده است. صددرصد از مشتركين dialup نيست چون حتي با disable كردن خطوط E1 مشكل حل نشد. فقط يك مورد به ذهنم رسيد و اون هم ICP ما هست كه فكر كنم داشته روي فيلترش كار ميكرده ولي چون تنظيماتش نادرست بوده باعث loopback شدن ترافيك شده.

IOS رو هم هنوز عوض نكردم چون مطمئن نيستم حتما از اون باشه!

 

[vertigomaker]

سلام
يك دستگاه AS5300 با IOS ver 12.1(8) دارم كه اخيرا يك مشكلي پيدا كرده كه نتوانستم علتش رو بفهمم. مشكل به اين صورت است كه دستگاه تا بحال 3 مرتبه در فواصل چند روز بمدت حدود 10 دقيقه بطور ناگهاني شروع به ارسال و دريافت غير عادي ميكند و بعد بحالت عادي برميگردد. فكر كردم قضيه موردي بوده تا اينكه امروز هم تكرار شد و هم از نظر زمان و هم ميزان ارسال دريافت بمراتب از 2 دفعه قبل بيشتر بود كه گراف آن را بعنوان آواتار گذاشته ام (چون انجمن امكان ارسال فايل ضميمه ندارد!)
اينكار توسط مشتركين دايال آپ انجام نميشود چون حتي اگر جلوي ورود آنها را هم بگيريم بازهم ادامه دارد!
از كامپيوترهاي شبكه هم نيست چون با خارج كردن آنها از شبكه مشكل حل نميشود!
هر چه هست از طريق اينترنت است چون به محض قطع كردن خط ارسال و دريافت غيرعادي هم قطع ميشود. اول فكر كردم شايد كسي در حال استخراج اطلاعات مشتركين است ولي در اينصورت بايد ارسال زياد باشد و نه دريافت در حالي كه هر دو با هم بالا ميرود. ضمنا حتي با قطع كردن كامپيوتر صورتحساب از شبكه باز هم ارسال و دريافت ادامه دارد.

از دوستان عزيزي كه به هر نحوي راهنمايي بفرمايند پيشاپيش متشكرم

بهترين راه اينه كه اول بفهمي اين packet ها از کجا میان و به کجا میرن
برای این منظور میتونی از دستور ip accounting output-packet روی هر Interface خروجی که میخوای ببینی چی ازش خارج میشه و source و destenation هر packet کیه و ارسال و دریافتش چقره استفاده کنی و بعد برای دریافت لیست از دستور show ip accounting در محیط enable mode استفاده کنی

 

[degdow]

بهترين راه اينه كه اول بفهمي اين packet ها از کجا میان و به کجا میرن
برای این منظور میتونی از دستور ip accounting output-packet روی هر Interface خروجی که میخوای ببینی چی ازش خارج میشه و source و destenation هر packet کیه و ارسال و دریافتش چقره استفاده کنی و بعد برای دریافت لیست از دستور show ip accounting در محیط enable mode استفاده کنی

خيلي ممنون از راهنمايي شما - خوشبختانه يا متاسفانه ديگه تكرار نشد كه بتونم بفهمم داستان از كجا بوده ولي حدس ميزنم بخاطر نحوه فيلتر كردن orkut بوده - وقتي orkut رو پينگ ميكردم آدرس 127.0.0.1 رو برميگردوند!!! (ماجرا مال همون روزي بود كه ندا پلمب شد و سراغ ICP ما هم رفته بودن) احتمالا عجله اي كار كرده بودن توي روتينگ تيبل هاشون اشكال بوده ولي نميدونم آيا اين حدس درست و منطقي هست يا نه