Доброго дня. У нас небольшая офисная сеть(12 компов). Выход в инет через серв. В серве 2 сетевухи(внешняя и внутренняя), из софта безопасности ISA и КасперFileServer, система WindowsServ2003. Соединение с провом PPPOE.
Ровно в 17.50 сеть начинает глючить. Сервак не отвечает на устройства ввода, а у пользователей ну очень медленно работает инет. Отрубаю кабель прова и вклчаю вновь- все работает норм.
Попробовал Network Monitor запустить в этот момент. Он пару секунд показывает огромное число пакетов, потом виснет.

Внимание вопрос: Что это может быть и как продиагностировать?

Saiko, 


Похоже на DDoS.

Отснифай пакеты на провайдерской и юзерских сетевухах, например тем же WireShark и смотри что происходит - по этому будет видно с какой стороны сервака приходит это огромное количество пакетов. Далее - по обстановке в зависимости от источника пакетов и типа протокола.

Вот такое нашел в логах
SASTGCTRL (2112) ADAMDSA: Online defragmentation has completed a full pass on database 'C:\Program Files\Microsoft ISA Server\ADAMData\adamntds.dit'.

Поскольку время сходится - скорее всего это ключ к отгадке. Но что это такое??

Привет от MS Exchange Server. Что именно он делает - понятия не имею - читай документацию.

Saiko,сервис пак поставьте посвежей.

для удобства представления вырезал небольшой кусок из снифера, в принципе тоже самое на остальном временном промежутке.
я как додумываю сеть висла именно из-за Loopback-ов. В чём может быть причина такого поведения пакетов?

Оказалось в это время обновляется Касперский, несмотря на то что по графику должен обновляться на час позже