4 ответов в этой теме

[Ghost_4ekist]

Прошу помочь разобраться

есть корпоративный доктор веб

есть рабочая станция

есть интернет шлюз у нас IDECO 

есть в IDECO  такая штука как  "Предотвращение вторжений"

там есть своего рода журнал с сигнатурами что происходит у пользователя

срабатывает на GeoIP Romania IP адреса 185.102.217.35 , 185.102.217.34 
И GeoIP Bulgaria 37.19.203.48 , 37.19.203.49

если ты пришел к пользователю смотришь сканером портов то это какие то CDN Приложу скриншот с TCPview

и приложу скрин с IDECO

и фильтрует эти CDN через dwnetfilter.exe

так вопрос в следующем как отключить? 
или убрать вообще !

тк не у одного его такие запросы а все у кого стоит dr.web!!!!

Трассировка маршрута

 lag-3-438.bgw01.omsk.ertelecom.ru (109.194.120.30) 2.118 ms 2.116 ms 2.111 ms

 ertelekom-ic-381104.ip.twelve99-cust.net (213.248.97.53) 44.970 ms 44.938 ms 45.144 ms

 sap-b5-link.ip.twelve99.net (213.248.97.52) 39.632 ms 39.600 ms 39.595 ms

 sto-bb2-link.ip.twelve99.net (62.115.139.51) 59.556 ms 57.708 ms sto-bb1-link.ip.twelve99.net (62.115.139.102) 50.393 ms

 ffm-bb2-link.ip.twelve99.net (62.115.138.105) 83.703 ms 83.716 ms ffm-bb1-link.ip.twelve99.net (62.115.143.29) 86.807 ms

 win-bb1-link.ip.twelve99.net (62.115.137.203) 81.901 ms 81.730 ms win-bb2-link.ip.twelve99.net (62.115.138.23) 79.585 ms

 win-bb2-link.ip.twelve99.net (62.115.138.23) 80.335 ms sfia-b4-link.ip.twelve99.net (62.115.136.123) 105.030 ms 105.398 ms

 datacamp-ic-367829.ip.twelve99-cust.net (62.115.39.18) 104.781 ms datacamp-ic-382884.ip.twelve99-cust.net (80.239.132.245) 97.659 ms datacamp-ic-367829.ip.twelve99-cust.net (62.115.39.18) 105.124 ms

 vl201.sof-tlp-dist-1.cdn77.com (138.199.0.199) 103.134 ms datacamp-ic-367829.ip.twelve99-cust.net (62.115.39.18) 100.846 ms 102.660 ms

 vl201.sof-tlp-dist-1.cdn77.com (138.199.0.199) 100.356 ms 329349049.sof.cdn77.com (37.19.203.47) 110.197 ms 113.057 ms
 

 

Прикрепленные файлы:

•  IDECO.png   512,57К   1 Скачано раз
•  TCPview.png   263,92К   1 Скачано раз

[Ivan Korolev]

>так вопрос в следующем как отключить? 

>или убрать вообще !

 

Удалите с компьютеров Adguardvpn и научите пользователей не ходить по сомнительным сайтам.

 

dwnetfilter просто пропускает через себя пользовательский трафик. Какой конкретно процесс шел по этим IP адресам можете посмотреть в C:\ProgramData\Doctor Web\Logs\netfilter.log

[Ghost_4ekist]

>так вопрос в следующем как отключить? 

>или убрать вообще !

 

Удалите с компьютеров Adguardvpn и научите пользователей не ходить по сомнительным сайтам.

 

dwnetfilter просто пропускает через себя пользовательский трафик. Какой конкретно процесс шел по этим IP адресам можете посмотреть в C:\ProgramData\Doctor Web\Logs\netfilter.log

[12/12/2024 14:10:43 000016f4] <DEBUG:1> Incoming: \Device\HarddiskVolume3\Program Files\Mozilla Firefox\firefox.exe (PID=12096, user S-1-5-21-3239971515-1162310960-3551595058-1204) -> 185.102.217.34:443
[12/12/2024 14:11:03 0000277c] <DEBUG:1> Incoming: \Device\HarddiskVolume3\Program Files\Mozilla Firefox\firefox.exe (PID=12096, user S-1-5-21-3239971515-1162310960-3551595058-1204) -> 37.19.203.48:443

ну скорее всего адгуард блокировщик рекламы как понять что это по логу хз ясно что мозила а что именно хз

[Ghost_4ekist]

 

>так вопрос в следующем как отключить? 

>или убрать вообще !

 

Удалите с компьютеров Adguardvpn и научите пользователей не ходить по сомнительным сайтам.

 

dwnetfilter просто пропускает через себя пользовательский трафик. Какой конкретно процесс шел по этим IP адресам можете посмотреть в C:\ProgramData\Doctor Web\Logs\netfilter.log

[12/12/2024 14:10:43 000016f4] <DEBUG:1> Incoming: \Device\HarddiskVolume3\Program Files\Mozilla Firefox\firefox.exe (PID=12096, user S-1-5-21-3239971515-1162310960-3551595058-1204) -> 185.102.217.34:443
[12/12/2024 14:11:03 0000277c] <DEBUG:1> Incoming: \Device\HarddiskVolume3\Program Files\Mozilla Firefox\firefox.exe (PID=12096, user S-1-5-21-3239971515-1162310960-3551595058-1204) -> 37.19.203.48:443

ну скорее всего адгуард блокировщик рекламы как понять что это по логу хз ясно что мозила а что именно хз

 

adguard antibanner стоял в мозиле выключили и сразу все пропало

[Ivan Korolev]

>как понять что это по логу хз ясно что мозила а что именно хз

 

можно через VT или другой сервис по вашему выбору посмотреть какие домены резолвятся в указанный IP. Это зачастую дает достаточно информации для поиска нужного сайта/плагина, который произвел коннект.