Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Как мне найти программу-источник для исходящего "Flow"?, UniFi Network
 
#1
09.05.2025 00:39:00
У меня есть две машины (одна показана ниже), которые раз в несколько дней в течение короткого промежутка времени пытаются выйти в Китай по IP. Как мне выяснить, что именно на этих машинах инициирует это подключение? В расширенной информации есть детали по портам и т.д., но нет информации о задействованном приложении. Исходный порт случайный в диапазоне 64000, а целевой порт всегда 443.
 
 
 
#2
11.05.2025 16:40:00
dig -x 40.72.124.129
 
;129.124.72.40.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
72.40.in-addr.arpa. 299 IN SOA ns1-205.azure-dns.com. azuredns-hostmaster.microsoft.com. 1 3600 300 2419200 300
Я, кстати, WHOIS делал...но не знал, что можно так делать. И в моей Windows системе, кажется, это сложнее, так как, кажется, придётся делать это из-за файрвола...иначе будет заблокировано? nslookup -type=ptr 40.72.124.129...а мой PiHole говорит "не найдено" (даже пытаясь использовать другой DNS-хост). Всё остальное просто тайм-аутится!! Работает отлично, если зайти по SSH на PiHole и dig оттуда. Спасибо за информацию! (Это здорово, когда понимаешь, что даже в свои семьдесят можно ещё учиться, учиться и учиться!).
 
 
 
#3
11.05.2025 15:09:00
@khtadmin Я сделал обратный поиск, и некоторые из них можно отнести к "microsoft azure" и "apple.com", однако у меня несколько разных адресов, и информацию по некоторым я не могу найти, но подключения к этим IP происходят в один и тот же период времени, так что, полагаю, они могут быть связаны. @dlow Забыл про Shodan, спасибо, действительно отличный инструмент.
 
 
 
#4
11.05.2025 03:49:00
И вот мой любимый сайт для анализа IP говорит, что это Microsoft Outlook в Китае?
 
 
 
#5
11.05.2025 01:06:00
@RuralCanuck, потому что я считаю, что телефоны, iPad’ы и корпоративные ноутбуки — это отстой, я поместил их в "IoT" сеть, но это просто название. Я не хочу, чтобы эти устройства общались с моими домашними серверами и оборудованием Unifi, поэтому я их разделяю. У каждого свое представление о том, как делать свои VLAN’ы. У меня есть свой рабочий компьютер, где я управляю всем, что находится в "более безопасном" VLAN’е, чем эти устройства. В любом случае, у меня та же проблема, что и у тебя, из-за нестабильности соединений мне сложно их поймать.
 
 
 
#6
10.05.2025 16:33:00
@xzivzs Интересно... но зачем твои телефоны и ноутбуки подключены к твоей сети IoT? (Это так, побочный вопрос...) Я ничего не нахожу в Просмотр событий и т.д., что появляется в эти моменты времени, хотя на одном компьютере это всегда около 2:08 ночи, а на другом — около 8:20 утра... примерно раз в четыре дня. Единственное, что появляется хотя бы примерно в это время, — что-то связанное с telemetry.acronis.com... но это не оно. Мне нужен инструмент для мониторинга конечных точек, который будет фиксировать это конкретно, потому что я не могу предугадать, когда это произойдет. Поскольку используется порт 443, это HTTPS-трафик... вероятно, от браузера... но я недостаточно хорошо разбираюсь в сетях, чтобы знать, что это может быть что-то ещё.
 
 
 
#7
10.05.2025 05:12:00
Привет! Только что заметил, что у меня дома та же проблема. Началось с ноутбука жены, принадлежащего её компании, 4 мая, затем iPhone, iPad Pro 7 и 8 мая, и сегодня, в конце концов, с ноутбука её компании для MacBook Pro. На этих машинах что-то инициирует исходящее соединение на порты 443 или 80 к китайским IP-адресам. Я регулярно проверяю свою домашнюю сеть, и впервые вижу что-то подобное. Придётся покопаться в этих машинах и попытаться понять, что происходит. На твоей стороне что-нибудь нашёл?
 
 
 
#8
09.05.2025 18:52:00
Windows Defender, конечно, неплох, но ему не хватает многих функций, например, защиты от фишинга и логирования платных опций. Сейчас реально нужна хорошая защита конечных устройств. #endpointsecurity
 
 
 
#9
09.05.2025 18:47:00
Просто Windows Defender/Firewall. Никаких других сторонних инструментов, кроме GlassWire на одной машине. Двойные PiHoles для DNSSEC. И больше ничего, кроме Unifi, который определяет конкретный трафик. (Не могу найти ничего в отчетах Windows Firewall/Event Viewer и т.д.)
 
 
 
#10
09.05.2025 16:02:00
Можно попробовать MalwareBytes, бесплатную версию для скачивания и проверки. А какая у вас установлена защита конечных точек на компьютерах?
 
 
 
#11
09.05.2025 15:54:00
Ок - спасибо...понятно. Теперь у меня небольшая домашняя/бизнес-сеть - все на Win 10 - есть ли какой-нибудь особенно хороший инструмент для использования? У меня есть бесплатная версия GlassWire на одном из компьютеров, но ничего полезного найти не удалось. Я также изучил логи PiHole, но, подозреваю, что, поскольку исходящий трафик блокировался на UDMP, он и не доходил до PiHole, так как ничего особенно в это время и не обнаружил.
 
 
 
#12
09.05.2025 07:14:00
У вас должны быть установлены приличные средства защиты конечных точек. Это анализ сетевого трафика на уровне сети, а не на уровне устройства. Вам нужно перейти на проблемное устройство и проанализировать там журналы конечной точки.
 
 
 
#13
09.05.2025 01:58:00
В Unifi нельзя "заглянуть внутрь машины". Вам нужно будет провести в них компьютерно-криминалистический анализ. Используемые техники будут зависеть от операционной системы этих машин (вы не сказали, какая). В любом случае, это выходит за рамки данного форума. Это "грязная тайна" IDS/IPS: когда он что-то находит — "а теперь что делать?!". IDS/IPS должен быть частью более широкой системы сетевой безопасности. Что-то вроде CrowdStrike запускает агенты безопасности на ваших ПК, так что, когда IDS/IPS обнаруживает подозрительное поведение, агенты могут автоматически собирать компьютерно-криминалистическую информацию о "машинах" для обнаружения и устранения вторжения.

Установка IDS/IPS отдельно — это всё равно, что прикрепить спойлер F1 к вашей Civic и ожидать, что она поедет как гоночный болид F1. Спойлер вполне настоящий, он обеспечит прижимную силу, но без остальной части гоночного автомобиля… 🤷
 
 
 
Страницы: 1
Читают тему (гостей: 1)