Recentemente, uma amiga minha queixou-se do desempenho muito ruim da conexão com a Internet sobre a LAN da família dela. Aparentemente, a conexão com a Internet funcionou normalmente na maioria das vezes, mas alguns sites (Facebook, por exemplo) tiveram um desempenho muito ruim e, às vezes, não funcionaram. Além disso, parecia haver uma enorme queda geral de desempenho todas as noites, o que tornava a Internet praticamente inutilizável.
Curioso sobre a causa destes problemas, monitorizei o tráfego de rede visível para a minha máquina durante algum tempo e descobri tráfego suspeito. A cada minuto, um host do Windows 7 transmitia 12 pacotes do Serviço de Nomes da NetBios (um pacote / segundo), aparentemente solicitando uma máquina antiga do Windows XP que fica conectada à LAN (e à Internet ...) de vez em quando. Os pacotes pareciam assim:
12:52:37.567533 IP (tos 0x0, ttl 128, id 17406, offset 0, flags [none], proto UDP (17), length 78)
192.168.0.2.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
TrnID=0xBC60
OpCode=0
NmFlags=0x11
Rcode=0
QueryCount=1
AnswerCount=0
AuthorityCount=0
AddressRecCount=0
QuestionRecords:
Name=HOSTNAME NameType=0x20 (Server)
QuestionType=0x20
QuestionClass=0x1
Li que o NBNS é usado por alguns malwares, mas o software antivírus Kaspersky do host que envia esses pacotes não conseguiu encontrar nada malicioso. Infelizmente, ainda não consegui monitorar o tráfego de toda a rede, especialmente após a queda de desempenho à noite.
Esse comportamento pode ser causado por malwares que procuram hosts vulneráveis na rede para infectá-los e / ou se ativam em um horário específico à noite para causar tráfego intenso na Internet? Você agora malware como este e como identificá-lo? Ou eu sou apenas paranóico e isso é um comportamento perfeitamente normal (como você pode dizer com mais experiência em como o tráfego normal da rede se parece)?