Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Потоки, показывающие попытки трафика в Россию., UniFi Network
 
Получаю кучу запросов, больше 1700, по блокировкам локаций и еженедельные запросы по предупреждениям о вредоносном ПО для .ru локаций. Пока клиенты используют AV и антивирусные приложения, но эти события продолжают происходить. У кого-нибудь еще возникают подобные проблемы и как вы их решали? Спасибо.
 
Использую сервис от SANS, https://isc.sans.edu/, потому что поиск по IP-адресам также показывает информацию об угрозах и репутации. Многие из этих адресов оказываются связанными с Yandex, что-то вроде российского Google. Но даже если бы это была 'легитимная' компания, почему такой трафик маршрутизируется через российский сервис? У меня DNS настроен на 8.8.8.8 и 8.8.4.4. Посвящу этому больше времени на выходных. Кто-нибудь ещё использует OpenDNS?
 
Как бы ты посоветовал сделать сканирование?
 
Возможно, фаервол сканирует и промежуточные узлы (не только конечный пункт назначения). Еще несколько дней назад, в другом посте, пользователь жаловался на что-то с польским адресом, которое фаервол показывал как русский. Я прогнал traceroute к польскому адресу и действительно обнаружил русский промежуточный узел. Может быть, он так и работает?
 
Поиск в ICANN – всегда хорошая идея. Например, моя Synology NAS постоянно пытается связаться с IP-адресом на Тайване, хотя эта страна заблокирована по географическому признаку. Сделав поиск в ICANN, я вижу, что это IP-адрес Synology NAS для QuickConnect, указывающий на http://keepalive.synology.com/ - так что там все в порядке. Не могу придумать много сервисов, которые бы использовали .RU в наши дни, кроме как если у вас есть клиент, который использует Yandex, и они русские.
 
Возможно, база данных геолокации и неверна. У меня куча потоков в "Индию". Но если я делаю ICANN-запрос по IP-адресу, там указано, что он принадлежит Microsoft. Так что этот IP-адрес может и не находится физически в Индии. Не знаю.
 
Спасибо ещё раз за ответ. Для уточнения, это трафик с клиентских устройств ВНУТРИ сети, пытающихся подключиться к серверам, расположенным в домене .ru. Это не срабатывания брандмауэра ИЗ-ЗА пределов сети. Вот почему это вызывает беспокойство.
 
Потоки - это на уровне контроллера. У нас много записей заблокировано из разных источников. Если это не отображается в AV или защите от вредоносного ПО на стороне клиента, я бы сказал, что оно работает, но рекомендую провести тщательное сканирование затронутых клиентов.
 
Спасибо. Но это попытки с клиентских устройств отправлять данные в Россию. Клиентские устройства, iPhone, Mac ноутбуки, Windows-машины и Android-телефоны все показываются здесь. Я заблокировал Россию географически в прошлом году из-за вредоносного ПО. Теперь, после включения Proofpoint, я вижу огромное количество трафика, пытающегося установить соединение с Россией. Это вызывает опасения.
 
Невозможно остановить входящие соединения по вашему публичному IP. Брандмауэр/настройки безопасности должны выполнять свою работу и просто фиксировать попытки.
Страницы: 1
Читают тему (гостей: 1)