15 лет назад 27 августа 2009 в 12:19 1055
Загрузил компьютер, подключился по ADSL к интернету (USB-модем ZTE ZXDSL 831AII, стандартное PPPoE-соединение). Никаких программ, использующих сеть, не запускал, файрволла нет. Идет закачка – по 40-50 килобайт в минуту уже целый час. Выгрузил все «левые» софтины типа O&O DriveLED, а также планировщик Dr.Web и его же системный сервис. В трее остались только значки сетевого соединения, «Диспетчера задач», «Громкости» и «Безопасного извлечения устройств». Список запущенных процессов: alg.exe, explorer.exe, четыре разных svchost.exe, notepad.exe (в котором пишу это письмо), lsass.exe, services.exe, winlogon.exe, resetservice.exe, csrss.exe, smss.exe, taskmgr.exe, system, wdfmgr.exe, srvany.exe и «Бездействие системы». Все равно что-то качается. Через 25 минут после разрыва связи и автоматического восстановления соединения входящий трафик составил около 700 Кбайт, а исходящий – 2,4 Кбайт. Это все так и должно быть? Система – Windows XP Pro SP1 с некоторыми апдейтами. Попутно обращаюсь с просьбой подсказать утилиту для мониторинга сетевой активности.

Эта проблема в последнее время встречается все чаще, поэтому попробуем с ней разобраться детально. Во-первых, следует удостовериться, что виновником непонятного трафика не является ваш собственный ПК. Для этого надо просканировать его несколькими хорошими антивирусами и программами типа SpyBot со свежими базами. Будет лучше, если вы достанете винчестер из своего ПК и подключите его, скажем, к компьютеру приятеля, чтобы запускать антивирусы из-под другой, гарантированно чистой, системы. Если ничего «левого» не обнаружится (у вас среди процессов я вижу разве что кряк для Windows), то переходим к следующему этапу. Теперь надо выяснить, есть ли какие-то подозрительные сетевые соединения. Для того чтобы посмотреть, какие процессы работают с сетью, можно использовать программу TCPView (www.sysinternals.com). Предварительно надо выгрузить все лишнее из памяти. Если ничего опять не обнаружится, можно попробовать поставить какой-нибудь мощный файрволл и с его помощью проинспектировать трафик. В настройках сетевого экрана нужно включить протоколирование всего, что только можно. Вполне возможно, в вашей сети (если мы говорим о локалке) шастают черви типа Sasser или Blaster. Стандартное закрытие портов 135, 445, 137, 138, 139, 113, 5000 и 1900 файрволлом (желательно, чтобы он поддерживал stealth-режим) избавит от паразитного трафика. Если в результате всех этих экспериментов вы ничего не найдете, то с большой долей вероятности можно утверждать, что все дело в широковещательных (broadcast) запросах, гуляющих по сети. Если ваш модем, роутер или файрволл умеет блокировать такой трафик (например, за это может отвечать опция Downstream Broadcast Blocking), попробуйте это сделать и посмотрите, произойдут ли какие-то изменения. Если проблема пропала – можно смело жаловаться провайдеру на «левый» входящий трафик. Во многих сетях с broadcast-рассылками (когда какой-то один ПК пытается слать данные всем остальным) активно борются. Но учтите, что broadcast messages используется для поиска игровых серверов или просмотра онлайнового телевидения. Поэтому, если заблокировать все широковещательные запросы, можно лишиться чего-то полезного. Если хочется разобраться с проблемой досконально, то установите приличный сниффер, чтобы узнать все, вплоть до IP-адреса виновника. Скорее всего, входящий канал забивают пакеты ARP Broadcast (кулхацкеры с помощью ARP Spoofing научились снифферить даже в сетях с коммутаторами). Вообще этот вопрос далеко не тривиален, поэтому приглашаю всех желающих поделиться своим опытом борьбы с паразитным трафиком. Пишите!

Иван Петров
Никто не прокомментировал материал. Есть мысли?