Моя подруга недавно жаловалась на очень плохую работу интернет-соединения по локальной сети ее семьи. Очевидно, что интернет в большинстве случаев работал нормально, но некоторые веб-сайты (например, Facebook) работали очень плохо, а иногда вообще не работали. Кроме того, каждый вечер, казалось, происходило значительное падение производительности, что делало Интернет практически непригодным для использования.
Любопытствуя о причинах этих проблем, я некоторое время отслеживал сетевой трафик, видимый моей машине, и обнаружил подозрительный трафик. Каждую минуту хост Windows 7 транслировал 12 пакетов службы имен NetBios (один пакет в секунду), по-видимому, время от времени запрашивая древнюю машину с Windows XP, которая подключается к локальной сети (и Интернету ...). Пакеты выглядели так:
12:52:37.567533 IP (tos 0x0, ttl 128, id 17406, offset 0, flags [none], proto UDP (17), length 78)
192.168.0.2.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
TrnID=0xBC60
OpCode=0
NmFlags=0x11
Rcode=0
QueryCount=1
AnswerCount=0
AuthorityCount=0
AddressRecCount=0
QuestionRecords:
Name=HOSTNAME NameType=0x20 (Server)
QuestionType=0x20
QuestionClass=0x1
Я читал, что NBNS используется некоторыми вредоносными программами, но антивирусное программное обеспечение Касперского хоста, отправляющего эти пакеты, не смогло найти ничего вредоносного. К сожалению, я не смог пока контролировать трафик всей сети, особенно после падения производительности вечером.
Может ли такое поведение быть вызвано вредоносным ПО, которое ищет уязвимые узлы в сети, чтобы заразить их и / или активирует себя в указанное время вечером, чтобы вызвать большой интернет-трафик? У вас сейчас такая вредоносная программа и как ее идентифицировать? Или я просто параноик, и это совершенно нормальное поведение (как вы можете сказать по большому опыту того, как выглядит нормальный сетевой трафик)?