Encontrando o executável enviando pacotes para um endereço IP específico?

3

Hospedamos Game Servers em máquinas Windows Server 2008 e acabamos de receber um relatório informando que um de nossos clientes está usando o servidor para fazer algum tipo de ataque UDP. A pessoa que está sendo atacada nos forneceu o endereço IP, mas faz as restrições do IPv4, temos 5 servidores de jogo funcionando com esse endereço IP.

Qual seria a melhor maneira de descobrir qual servidor de jogo está enviando esses pacotes? Um de nossos outros técnicos instalou um aplicativo há muito tempo que mostrava tráfego de rede ao vivo, mas não está nessa máquina e não consigo encontrá-lo.

    
por Aidan Knight 22.10.2011 / 02:58

2 respostas

4

Peça à vítima que lhe forneça a porta de origem dos datagramas que ele identificou como pertencentes ao ataque.

Se você executar 5 servidores de jogos diferentes nesse IP, cada um deles será executado em uma porta diferente e, portanto, você saberá qual deles é o culpado, verificando a porta de escuta do servidor de jogo na porta de origem no Datagramas UDP que a vítima recebeu.

De modo geral, se você estiver interessado nesse tipo de inspeção de tráfego a longo prazo, deseja familiarizar-se com Wireshark e especialmente seu componente de script: Tshark . Usadas de maneira inteligente, essas ferramentas podem oferecer uma visão extrema sobre qualquer tipo de problema de rede.

    
por 22.10.2011 / 03:11
2

Você pode instalar o Microsoft Network Monitor nos servidores e iniciar uma captura quando suspeitar que a atividade está ocorrendo. O Netmon rastreará os processos envolvidos no tráfego para que você possa reduzi-lo a um processo específico.

Quanto ao histórico de tráfego, você precisará de algo como o Netflow configurado no seu switch ou roteador exportando fluxos para um coletor do Netflow.

    
por 22.10.2011 / 03:13