Вируси и безжични мрежи

[Тодор Лазаров]

Вчера пуснах ново AP. Сигнала към клиентите /основно Ovislink, Edimax/ е добър от 30-50%.

Всичко тръгна добре, но в един момент пинговете към клиентите литнаша /от 200-300мс/.

Огледаш AP-to /Nanostation2/ ефира не беше зашумен, сигналите бяха същите. Пуснах и изолация между клиентите /дане би да има много broadcast traffic/, но пак същата работа.

Тогава пуснаш torch на роутера който ги посреща. И какво се оказа. От една станция върви доста интересен трафик / port 135 /

Спрях този клиент и всичко се оправи.

Намирисва ми на прословутия червей W32.Blaster.Worm:

"The denial of service attack traffic will have the following characteristics:

SYN flood with a destination port of 80.

50 HTTP packets per second.

Packets are 40 bytes in length.

If it is unable to locate a DNS entry for windowsupdate.com it will use a destination address of 255.255.255.255. It is important to note that Microsoft has removed DNS records for windowsupdate.com.

The packets will also have the following characteristics:"

Та въпроса ми е как процедирате в такива случай

[insertoff]

Задължително на бордер рутера трябва да ги филтрираш тия "рискови" портове. С цел да не могат да "влизат" такъв род вируси.

Въпреки това не е невъзможно клиента да си се зарази по други пътища.Затова аз бях добавил няколко реда във firerwall-a на клиентските микротикове.

Накратко идеята е - ако клиента изпраща пакети към тия "рискови" портове се предполага, че е заразен и ИП-то му се добавя в един address list.Който после мога да прегледам.

Наскоро имах друг случай - от много ИП-та от света атака към 1 ИП адрес от моята мрежа по портове 8345,45195.

За нещастие това ИП-беше клиент зад радио и въпреки, че е сносен линк с микротикове на 5 гхз, линка се лагваше на 300-500 ms.

Доста зор ми даде докато открия.Но сега и тия портове съм добавил като филтрирани в бордера, независимо че търсенето ми за такива вируси не даде резултат.

[Велин]

добър тест за вифи линковете