Bom dia pessoal.....alguams noticias..... Como comentei tem perdiodos de tranquiladade, ontem a atividade nos graficos RRD da lan nao chegou a 3 mb....ja a partir da 1 H de hoje foi pros 100 Mb e permanece. Na interface Wan nao tem trafego grande....um que outro pico de saida de quase 6 Mb Se vou verificar no Traffic Graph em tempo real na lan, ta em 100/150 Mb ( em rajadas de picos), se coloco a opcao de Filter local nao lista nenhum ip da rede interna com grande fluxo. Se colo o filter para All aparecem diversos ips 121.40.90.xx...113.17.169.xx 116.10.xx.xxx com Bandith In de 25 M Bits/sec .... Mesmo com o pfbloquer ativo pra todos os ips chineses tanto na lan quanto wan Bom...rotedei o tcpdump com a sintaxe: (re1 mina interface LAN) tcpdump -nai re1 -s0 -w /var/tmp/capture2.pcap
E em menos de 20 minutos rodando o arquivo ja tava com 7 Gb ( Rodei quando o trafego na lan estava alto pra tentar pegar ...), o que ficou de impossivel de fazer o download ( ainda estou fora da empresa). Deixei somente rodando por uns 3 minutos e consegui uma arquivo de 50 Mb......Mas nada de ips chineses nele.... E a briga segue..... Abs. > From: [email protected] > Date: Mon, 4 Aug 2014 14:24:41 -0300 > To: [email protected] > Subject: Re: [Pfsense-pt] Alto trafego de saida > > Marcio, você pode usar o TCPDUMP que vem nativo no pfsense. > > coloca ele pra salvar um arquivo e depois abre com o Wireshark > > > Em 4 de agosto de 2014 14:18, Marcio S - Aker <[email protected]> escreveu: > > > Bom, passar o malwarebytes removeu algumas ameaças mas nao resolveu o > > problema. > > Interessante qeu tem momentos de "silencio" agora entre 12 e 14 Hs o > > trafego na lan caiu pra menos de 1 Mb ( que é o normal) > > No meio da semana devo retornar para a empresa. Como sugeriod pelo Paulo > > quero colocar uma maquina entre a lan e o pfsense para capturar o > > trafego.... > > Qual seria a melhor opcao? Uma maquina com livecd de linux e duas placas > > de rede? Colocar o pfsense como bridge nessa maquina ( > > https://forum.pfsense.org/index.php?topic=50711.0 ) ? > > Obrigado e abraços. > > > > > > > From: [email protected] > > > To: [email protected] > > > Date: Fri, 1 Aug 2014 09:40:06 -0300 > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > Bom dia Paulo, nao cosnegui fazer a captura pois estou fora da empresa > > por alguns dias, pois precisarai colocar uma maquina entre a rede e o > > pfsense pra fazer a captura. Pedi para a outra pessoa que cuida da parte do > > sistema ( sistema web java que roda num dos servidores) e da manutencao dos > > servidores para fazer uma varredura. Ela passoo o malwarebytes, e no > > servidor que tem o sistema encotrou 9 pragas, entre elas trojas. No outro ( > > que é somente servidor de arquivo) somente 1. Vamos ver se era somente isso > > > Ja mandei novamente e-mail aa direção informando da necessidade da > > compra de um bom sistema anti-virus ( ja havia avisado antes, mas nao > > quiseram comprar). > > > > > > Mas vou seguir minha luta no pfsense....deixar ele mais restrito e ver > > se realmente vai melhorar e se eram so esses dois servidores com problema. > > > > > > Sera que o Snort ou Suricata me ajudaria nessa briga? > > > > > > Abraços > > > > > > > Date: Thu, 31 Jul 2014 18:42:12 -0300 > > > > From: [email protected] > > > > To: [email protected] > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > Amigo, boa noite! > > > > Pelo visto vc tem algo errado na sua rede, algum cavalo de tróia ou > > alguma > > > > botnet ou algum serviço oculto em seus servidores.... > > > > Como sugestão faça a captura do tráfego de rede, antes da LAN do > > pfsense, > > > > mas que concentre todo o tráfego de sua rede.... salve esse tráfego > > como > > > > .pcap use o tcpdump para isso e depois abra no wiresahrk e procure os > > ips > > > > que vc já sabe que são para os chineses.... quando abrir o pacote ip > > você > > > > saberá a origem (src) e o destino (dst) do pacote. > > > > > > > > > > > > Em 31 de julho de 2014 13:45, <[email protected]> > > > > escreveu: > > > > > _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
