Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Обнаружена атака на переполнение ICMP

RSS
 
AlexVP
AlexVP
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 21.11.2012
Размещено 21.11.2012 17:52:59
последнее время Eset EndPointSecurity 5.0.2126.3 с периодичностью 40сек, а иногда и чаще, шлет сообщения :

Обнаружена атака на переполнение ICMP
Удаленный адрес
192.168.140.2

незадолго до этого были другие сообщения, но значительно реже...
Обнаружена флад атака ICMP
и тот же адрес

удаленный адрес - это адрес домен контроллера сети, на нем установлен Eset Mail security 4.3.10025.0...
что то это мне не нравится совсем...
базы обновлены, все включено. что делать?

Ответы

Пред. 1 2 3 След.
 
AlexVP
AlexVP
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 21.11.2012
Размещено 27.11.2012 16:57:49
Цитата
santy пишет:
пробуйте отключить проверку сообщений по протоколу ICMP

отключил - не сыпятся предупреждения...
только это получается "закрыть глаза, чтобы не видеть проблемы.... "
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.11.2012 20:04:54
если адрес источника тот же, как вы пишите - контролер доменов, и пакеты сыпятся подобные на все машины, то следует проверить так же сервер с установленным eset mail security.
сделайте так же с него образ автозапуска.
[ Как создать образ автозапуска? ]
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 27.11.2012 20:07:54
Цитата
AlexVP пишет:
отключил - не сыпятся предупреждения
Кто сказал отключать?!
В теме http://forum.esetnod32.ru/forum9/topic5130/ сказано, что сначала лучше добавить только данный адрес в исключения.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.11.2012 20:10:09
можно будет добавить - проверим сначала DC.
[ Как создать образ автозапуска? ]
 
AlexVP
AlexVP
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 21.11.2012
Размещено 28.11.2012 10:42:27
вот с ДК лог... а чем вы его просматриваете?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 11:47:11
нет, DC  чист, пробуйте добавить в исключение айпишник DC
[ Как создать образ автозапуска? ]
 
AlexVP
AlexVP
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 21.11.2012
Размещено 28.11.2012 12:28:47
что удивительно, на других машинах с таким же eset нет подозрений на атаку...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 12:37:46
возможно с какой то программой идет обмен,

Цитата
вот с ДК лог... а чем вы его просматриваете?
просматриваем тем же uVS, тоько в режиме загрузить образ.

первая опция на рисунке
Изменено: santy - 28.11.2012 12:39:22
[ Как создать образ автозапуска? ]
 
AlexVP
AlexVP
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 21.11.2012
Размещено 28.11.2012 17:41:28
отключилось только внесением IP в исключения для IDS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 19:00:26
может стоило добавить в исключение из фильтрации протоколов? тогда проверялись бы пакеты по http, pop3 с данного сервера.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 След.
Читают тему