PDA

Показать полную графическую версию : как узнать, кто жрет трафик?


uchiha
21-10-2008, 20:17
такая проблема. Офис, три компа, объединенные свичом, через роутер выходят в интернет на одном ай-пи
задачи: почта, аська, вебстранички (очень мало).
В течение дня смотрю статистику - все по копейкам, вдруг в определенное время резкий скачок трафика - 100-150 рублей.
Поверяю историю - 4-5 страничек за день, ничего особеного.
Кого винить? Как узнать, откуда идет такой скачок трафика?
Атоматическое обновление винодоуса и антивируса отключено.
спасибо.

iskander-k
21-10-2008, 20:29
Установите Firewall и посмотрите кто лезет в интернет.
Посмотрите здесь (http://forum.oszone.net/thread-87986.html) похожая проблема.
и здесь (http://forum.oszone.net/forumdisplay.php?f=20&filter_string=%F2%F0%E0%F4%E8%EA&filter_by=title)

uchiha
21-10-2008, 20:48
Да файервол везде стоит (кис7)
но он пропускает, значит, возможно, кая-то программа обновляется.
А там программы: виндоус, офис, rar, акробат, неро - и все.
Как-то нужно запретить им єто делать самостоятельно

Pili
21-10-2008, 20:49
все по копейкам, вдруг в определенное время резкий скачок трафика - 100-150 рублей. »
Лучший IDS и детект по аномалиям это админ :)
Вполне возможно, что пользователи что-нибудь скачивали, в таком случае ведение логов не помешает (куда ходили, что качали), если такая аномалия будет повторятся, то вполне может быть вирус, тогда вам сюда (http://forum.oszone.net/forum-87.html)

iskander-k
21-10-2008, 21:20
Да файервол везде стоит (кис7)
но он пропускает, значит, возможно, кая-то программа обновляется. »
В главном окне KIS 7 --Сетевой экран -- Настроить--( увидите -"Система фильтрации" --ползунок(меняя положение ползунка меняете уровень защиты)-
ползунок
http://pic.ipicture.ru/uploads/081021/thumbs/R1B5SyLCB3.jpg (http://ipicture.ru/Gallery/Viewfull/8233650.html)

в пункте настройки режима- в настроенном режиме--Максимальная защита) рядом кнопка --Настройка-- жмете на нее--В появившемся окне выбираете вкладку --"Правила для приложений"
удаляете все ненужные вам приложения из окна(а значит из доступа к интернету) примерно как на скриншоте
http://pic.ipicture.ru/uploads/081021/thumbs/RWW1UzoHuR.jpg (http://ipicture.ru/Gallery/Viewfull/8233050.html)
(по умолчанию KIS разрешает доступ в интернет ненужным приложениям)
Отсутствие галок на некоторых приложениях означает что им тоже закрыт доступ в интернет.
Для допуска в интернет приложений передвигаете ползунок(о нем говорил ранее) в режим --Обучения-- в этом режиме если приложение пытается выйти в интернет - KIS выведет вам предупреждение с вопросом --Разрешить(и создать автоматически правило) или Запретить жмете на нужную надпись.После настроек Ползунок уровня защиты передвигаете в --Максимальную защиту(в этом режиме KIS не спрашивает , а сразу блокирует доступ - если приложению не разрешено соединение с интернетом) --Подробнее есть в встроенной справке к KIS.

И не забывайте нажимать кнопку ==Применить== и == ОК==

uchiha
22-10-2008, 00:24
ой, какое полезное замечание! да еще и с картинкой! Я давно об этом думала.
Только как узнать, какому приложению разрешать, какому нет.
Допустим, с оффисными приложениями понятно, им нечего делать в интернете, а вот с этими, системными из папки систем32, кому можно, кому нельзя?
У Вас на картинке их вообще совсем мало.
А у меня полно. МОжет их и правда, отключить.
Посмотрите на картинке, у меня там, наверное, много лишнего.

iskander-k
22-10-2008, 09:40
Только как узнать, какому приложению разрешать, какому нет. »
Разрешить только тем приложениям которые вам нужны для работы в сети\интернете , а все остальное удалить.
Оставить можно ;

svchost.exe- необходимое приложение - обязательно оставить.

msimn.exe - почтовая программа ( если пользуетесь для проверки почтового ящика)
outloock.exe - почтовая (из офиса -если пользуетесь для проверки почтового ящика)
IExplore.exe - броузер для - интернета (но лучше пользоваться Firefox или Opera)
аську - тоже можете оставить раз вы ею полюзуетесь.

приложения из system32 - удаляйте из списка доступа, кроме -svchost.exe -

примерно как на скриншоте, там отображены приложения которым нужен доступ в интернет и с которыми я работаю.
другие из списка нужно удалить они не нужны (если случайно удалите нужную - не страшно в обучающем режиме вставите обратно), если нужна будет какая-то программа для работы в интернете - ставите ползунок в положение В --Обучающий режим-- и при запуске приложения которое вам нужно в интернете-- каспер запросит у вас разрешение-- после настройки ползунок установите в режим --Максимальной защиты--(более подробно в встроенной справке к касперскому)

uchiha
22-10-2008, 09:43
iskander-k,
Большое спасибо!!!
Касперского я читала, да там все "по-научному", а тут "на пальцах"

iskander-k
22-10-2008, 09:49
"по-научному", а тут "на пальцах" »
Просто надо читать о конкретном интересующем вас пункте настройке и пробовать, а не все сразу - так будет проще усвоить. И где надо сделать для памяти короткую заметку(на бумаге) о сделанных изменениях - в принципе это можно делать и для других настроек в других программах - пока не освоитесь(по заметкам легче вернуть все на своё место).

uchiha
22-10-2008, 09:54
Я догадывалась, что это программы из систем32 -излишество, но убирать боялсь. а вдруг в инет не попаду.
Да, а если компьютер включен в маленькую локальную сеть. может, эти программы понадобятся.
Спасиб

iskander-k
22-10-2008, 13:08
Я догадывалась, что это программы из систем32 -излишество, но убирать боялсь. а вдруг в инет не попаду.
Да, а если компьютер включен в маленькую локальную сеть. может, эти программы понадобятся. »

Оставить из system32 нужно и обязательно только процесс svchost.exe - далее просто к нему добавляется очередное нужное правило от какого- нибудь приложения по его требованию.


Ещё раз повторюсь. Для допуска в интернет\сеть приложений передвигаете ползунок(о нем говорил ранее) в режим --Обучения-- в этом режиме если приложение пытается выйти в интернет\сеть - KIS выведет вам предупреждение с вопросом --Разрешить(и создать автоматически правило) или Запретить жмете на нужную надпись.После настроек Ползунок уровня защиты передвигаете в --Максимальную защиту(в этом режиме KIS не спрашивает , а сразу блокирует доступ - если приложению не разрешено соединение с интернетом или сетью)
а если компьютер включен в маленькую локальную сеть »
Выставляете режим _-"Обучения-"
В режиме обучения KIS спрашивает и выведет вам предупреждение "--Что такая-то программа пытается выйти в интернет\сеть по такому-то адресу ---" с вопросом --Разрешить(и создать автоматически правило) или Запретить - жмете на нужную надпись.
После настроек Ползунок уровня защиты передвигаете в --Максимальную защиту

uchiha
22-10-2008, 14:21
iskander-k,
да вы понимаете, дело в том, что уже пробовала что-то подобное.
"Разрешить?" Я выбираю "нет" - и не могу загрузить страничку рамблера.
А потом лезу в этот сетевой экран и отменяю запреты чему-попало.

iskander-k
22-10-2008, 19:01
да вы понимаете, дело в том, что уже пробовала что-то подобное.
"Разрешить?" Я выбираю "нет" - и не могу загрузить страничку рамблера. »
А что просит разрешение( в диалоговом окне каспера указывается какая программа пытается соединиться ), на которое вы ответили --Нет-- ? Броузер обычно не просит разрешение на посещение странички рамблера. Установите Firefox или Opera они лучше и безопаснее, и к ним не цепляется разная гадость. При назначении\ правил ( автоматически) их можно изменить . В правилах приложений есть кнопка --Изменить---в открывшемся окне --есть кнопка --Шаблон-- нажав на нее -выйдет список шаблонов с правилами для различных приложений - остается только выбрать нужный.

uchiha
23-10-2008, 15:26
Спасибо! поотключала на фиг все эти системы32, отключила icmp пакеты, все пока работает, а трафика - минимум.
Ну и поставила пограмму tmeter. Теперь все под контролем




© OSzone.net 2001-2012