Как найти зараженный пк в корпоративной сети? Здравствуйте, я начинающий системный администратор, работаю в больнице.(2 дня) )
Суть в чем - у нас канал интернета на 1гбит\с. Со всей больницы поступали жалобы на медленную работу интернета\локальной сети.
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
Есть мнение что заражен один или несколько пк( Касперский не обновлялся с 14 года, не работает с 17, лицензия есть до 20 года, но антивирь не может обновить базы, пока жду ответа от тех-поддержки необходимо своими руками со всем разобраться), необходимо найти какие именно пк заражены.
Поставил на сервер WireShark и NetworkMonitor, но что делать дальше? Да я перехватываю все соединения, но что с этим делать? Как проанализировать трафик, какие фильтры использовать чтобы найти жрущий трафик пк?
Upd: Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк. Хотя странно потому что сервак используется как шлюз к интернету, да и общие документы на нем.
Заранее спасибо.
UPD: Монитор трафика показал что процесс httpd.exe с порта 4904 наотсылал на 10 гигов трафика, 17 млн пакетов, 700bps и с порта 13624 примерно те же значения, как узнать с какого конкретно пк это идет?
Как найти зараженный пк в корпоративной сети? Здравствуйте, я начинающий системный администратор, работаю в больнице.(2 дня) )
Суть в чем - у нас канал интернета на 1гбит\с. Со всей больницы поступали жалобы на медленную работу интернета\локальной сети.
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
Есть мнение что заражен один или несколько пк( Касперский не обновлялся с 14 года, не работает с 17, лицензия есть до 20 года, но антивирь не может обновить базы, пока жду ответа от тех-поддержки необходимо своими руками со всем разобраться), необходимо найти какие именно пк заражены.
Поставил на сервер WireShark и NetworkMonitor, но что делать дальше? Да я перехватываю все соединения, но что с этим делать? Как проанализировать трафик, какие фильтры использовать чтобы найти жрущий трафик пк?
Upd: Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк. Хотя странно потому что сервак используется как шлюз к интернету, да и общие документы на нем.
Заранее спасибо.
UPD: Монитор трафика показал что процесс httpd.exe с порта 4904 наотсылал на 10 гигов трафика, 17 млн пакетов, 700bps и с порта 13624 примерно те же значения, как узнать с какого конкретно пк это идет?
Суть в чем - у нас канал интернета на 1гбит\с. Со всей больницы поступали жалобы на медленную работу интернета\локальной сети.
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
Есть мнение что заражен один или несколько пк( Касперский не обновлялся с 14 года, не работает с 17, лицензия есть до 20 года, но антивирь не может обновить базы, пока жду ответа от тех-поддержки необходимо своими руками со всем разобраться), необходимо найти какие именно пк заражены.
Поставил на сервер WireShark и NetworkMonitor, но что делать дальше? Да я перехватываю все соединения, но что с этим делать? Как проанализировать трафик, какие фильтры использовать чтобы найти жрущий трафик пк?
Upd: Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк. Хотя странно потому что сервак используется как шлюз к интернету, да и общие документы на нем.
Заранее спасибо.
UPD: Монитор трафика показал что процесс httpd.exe с порта 4904 наотсылал на 10 гигов трафика, 17 млн пакетов, 700bps и с порта 13624 примерно те же значения, как узнать с какого конкретно пк это идет?
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Для определения зараженного ПК в корпоративной сети следует принять следующие шаги:
Используйте программы для сетевого мониторинга, такие как Wireshark или NetworkMonitor, для анализа трафика в сети. Установите фильтры для анализа трафика, например, фильтр по IP-адресу, порту или протоколу.
Обратите внимание на необычно высокий объем передаваемых данных, также обратите внимание на странные или подозрительные запросы в сети.
Используйте информацию из мониторинга трафика для идентификации конкретного ПК. По IP-адресу и порту можно определить, с какого устройства отправляется большой объем трафика.
Посмотрите на антивирусное ПО на зараженном ПК, обновите его или запустите сканирование для обнаружения и удаления вредоносного программного обеспечения.
Примите меры по изоляции зараженного ПК от корпоративной сети, чтобы предотвратить дальнейшее распространение вирусов.
Выполните предупредительные меры для всех остальных устройств в сети, например, актуализируйте антивирусное ПО, запустите полное сканирование на всех устройствах.
На этом этапе важно также сообщить о произошедшем коллегам и начальству, чтобы принять дополнительные меры для защиты сети от подобных инцидентов в будущем.