DBA Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Суть проблемы. Подразделение фирмы арендует выделенку в бизнес-центре с публичным ИП. Оплата по договору за трафик (10$ за 100 Мб) + абонентка 10$ (+100Мб). Внутренняя сетка с приватными ИП подключена к выделенке через сервер под НТ с установленными на нем ВинРутом и почтовиком М-Демон. Само собой включен НАТ. Из портов открыты 80, 25, 110, 443. В один день вдруг с Инетом полная ж..., беда в общем - все лежит. Звоним местному прову - тот говорит что нас отрубили - чрезмерный суточный трафик из-за наличия у нас открытого SMTP релея. По статистике на веб сайте прова - трафик за пол дня якобы по Гигу в каждую сторону!!! За предыдущий день - по 200 Мб (столько бывает за треть месяца макс.).   Ну да ладно - Релей закрыли, с провом поругались, смотрим логи (настроены по всем включенным сервисам) и видим - левого SMTP трафику всего на 8 метров (~1700 мыл) за 3 дня! Причем надо учесть что Почтовик у нас архивирует 100% всей почты! По ВинРуту - туча обращений снаружи на 80 порт (но там только прокся с авторизацией?!).  Инет заработал - живем. На след. день по статистике прова входящий трафик стабильно пребывает по 8Мб в час, исходящий по 4-5 Мб. Причем сами в Инет не ходим, почту почти не шлем. В итоге трафику за день 150/70 Мб (вход/исх). Потребовали у прова лог - прислали кусок на 1,5 часа - там практически одни пакеты по 60 байт на 80 порт. Задропили в ВинРуте все ответы по 80 порту - упал до 0 исходящий трафик, а входящий в статистике так и пребывает. На след. день вообще выдернули кабель прова из сервера и видим в статистике туже картину - входящий траф. пребывает по 8 Мб в час!!!. Мы трясти прова. Его админ - "А вы что хотели, на ваш ИП идут пакеты, мы их честно считаем". Занавес! Так получается, что запусти какой нибудь децел пинг на наш ИП в цикле, эта сволочь (пров) насчитает нам трафика по самые помидоры, даже при выключенном сервере!!!. А ведь в конце месяца эти ироды выставят, при таком подходе, весьма круглый счет, можно сказать за воздух. К тому же откуда взялся в статистике прова Гиг трафика в день катаклизма - неизвестно. По нашим логам - Инет 3,5 Мб, почта 10 Мб. Итого - 13,5Мб!!! В общем какойто маразм.   Как с этим бороться? Всего записей: 259 | Зарегистр. 18-01-2002 | Отправлено: 03:06 07-06-2003

mymuss Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Как с этим бороться? 1) Немедленно разорвать с ними договор (пока еще пару гигов не повесили) 2) Внимательно пересмтореть договор на предмет того а за что собс-но вы платите. Вообще, если ты выдергиваешь шнурок из компа, то твой айпи перестает существовать и пакеты должны обламываться на их маршрутизаторе. Как они умудряются их считать - не знаю... 3) Обратиться к грамотному юристу и в какое-нибудь общество по защите прав потребителей (или как там оно в твоей местности называется). ---------- (a + b^n) / n = x, donc Dieu existe; répondez ! Euler Всего записей: 709 | Зарегистр. 13-04-2003 | Отправлено: 23:34 07-06-2003

NiX Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата:   2) Внимательно пересмтореть договор на предмет того а за что собс-но вы платите. Вообще, если ты выдергиваешь шнурок из компа, то твой айпи перестает существовать и пакеты должны обламываться на их маршрутизаторе. Как они умудряются их считать - не знаю...   Сколько шнур не выдергивай - маршрут прописан на тебя. Даже если пакеты не доходят - они учитываются. Один из вариантов - фильтровать трафик у провайдера.   Цитата: Так получается, что запусти какой нибудь децел пинг на наш ИП в цикле, эта сволочь (пров) насчитает нам трафика по самые помидоры, даже при выключенном сервере!!!. Именно так. И никак по другому. Провайдер абсолютно не несет ответственности за то, что вас кто-то закидывает пакетами. Всего записей: 99 | Зарегистр. 16-02-2002 | Отправлено: 16:53 08-06-2003

DBA Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Внимательно пересмтореть договор на предмет того а за что собс-но вы платите По договору мы оплачиваем входящий трафик за оказываемые нам услуги передачи данных   Цитата: фильтровать трафик у провайдера А за это они отдельных денег хотят Цитата: Провайдер абсолютно не несет ответственности   Да, но по договору он обязан обеспечить качественный сервис, причем соответствующий заявленной спецификации (пропусканая способность канала, время отклика и т.д.), а когда канал забит левым мусором ни о каком соответствии даже речи нет - вообще нефига не работает. Причем это не наш трафик - мы в этот момент не потребляем услуг передачи данных, которые являются предметом договора.   NiX   Представь - ты отключил мобилу, а тебе кто-то все равно звонит, сто раз прослушивает мессагу что абонент недоступен, и на утро ты уже должен оператору 100 баков? Понравиться? Ведь звонящие тебе напрягают сеть передачи данных и телефонное оборудование, а то и вообще звонят с межгорода - просто Эльдорадо для "Остапов Бендеров". Золотая жила! Всего записей: 259 | Зарегистр. 18-01-2002 | Отправлено: 01:42 09-06-2003

HAPPS Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не, народ, тема в другом... мне кажется дело не в обслуге. У меня у самого такая тема была, тока там все измерялось гигабайтами...  я и сейчас понятия не имею куда-откуда и почему ко мне шли пакеты... Короче, практически аналогичная трабла (я правда на уровне прова ее решил). Просьба, если кто знает почему сие бывает - не флеймить. Тема реально серьезная. ---------- ..это все, что останется после меня...это все, что возьму я с собой... Чемпион ВФЛП 2003/2004. Обладатель Суперкубка ВФЛП. Серебро РБП 2004. Русские Доски forever Всего записей: 3653 | Зарегистр. 24-01-2002 | Отправлено: 11:31 09-06-2003

Zlobny_John Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а уже все сказали почему такое бывает и как бороться .     бывает - потому что изначально не было принято мер безопасности . Представь - юзера кинулись оставлять свое е-мыл где попало и теперь к вам прется несколько тыс. спаммерских емылов ежедневно . До вашего почтовика все доходят , траффик есть . При чем здесь пров ?  Так и здесь , если наоставлять открытых релеев и проксей то попадете к куулхацкерам на заметку а они на вас всяких ботов напустят . например внесли адрес вашего прокси в бот , который который проверяет доступность . траффик опять таки идет и пров тут не при чем .     бороться - однозначно вместе с провом . возможно - при помощи денег . \ поставить параллелдьно с винрутом какой-нибудь сниффер . Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 12:16 09-06-2003

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Нас так обычно всякие сканеры достают. Обычно хватает простого общения с хозяином сервера, достающего своими пакетами, либо с его провайдером.   ЗЫ: Так же не помешало б сделать свою сеть невидимкой, а почту и www, если надо, закинуть на провайдера. Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 13:35 09-06-2003

HAPPS Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JcVai Цитата: невидимкой то есть?   у меня трабла была с портом 21** это 100% не почта, но траффик так и пер... Цитата: сниффер где его найти? ---------- ..это все, что останется после меня...это все, что возьму я с собой... Чемпион ВФЛП 2003/2004. Обладатель Суперкубка ВФЛП. Серебро РБП 2004. Русские Доски forever Всего записей: 3653 | Зарегистр. 24-01-2002 | Отправлено: 20:03 09-06-2003

Zlobny_John Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: сниффер     где его найти?   в Варезнике . я предпочитаю observer , наверно есть и более специфичные . Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 23:45 09-06-2003

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору HAPPS Цитата: Цитата: невидимкой то есть? Т.е. не отвечать ни на какие внешние запросы, только исходящий трафик.   Кстати,  при хорошем прокси (я использую ISA Server) можно обойтись и без сниффера. Просто получаю на мобилку IP-адрес, с которого/через который пытались сканить/атаковать.   Цитата: у меня трабла была с портом 21** это 100% не почта, но траффик так и пер...     =======cut from %SystemRoot%\system32\drivers\etc\services========== ftp                21/tcp                           #FTP. control =======cut from %SystemRoot%\system32\drivers\etc\services========== Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 08:51 10-06-2003

DBA Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: не отвечать ни на какие внешние запросы Это сразу сделали, по "факту". Но видимо раз уж засветился то адрес, то долбают. * Кстати к размышлению: первоначально большинство ломившихся на рэлей было с азиатских доменов (Китай, Корея) а уж потом прорвало со всего света.   * Сидел тут смотрел архив почты и что не пойму, то накой некоторые идолы найдя халявный рэлей шлют через него деловую почту? Шиза.   Цитата: Кстати,  при хорошем прокси   А вот на это рассчитывать не приходится. Стоит что проще и надежней. Обслуживать систему некому - спецов в штате нет. В офисе только несколько менеджеров да бухгалтеров. К тому же тачка под сервером отстойная... Всего записей: 259 | Зарегистр. 18-01-2002 | Отправлено: 10:42 10-06-2003

HAPPS Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору хе,хе.... в теме про защите от прослушивания сниффер - я так понял прога не для защиты.. либо это другой некий сниффер? JcVai - это не ФТП, это некий порт 2134 типа того... ---------- ..это все, что останется после меня...это все, что возьму я с собой... Чемпион ВФЛП 2003/2004. Обладатель Суперкубка ВФЛП. Серебро РБП 2004. Русские Доски forever Всего записей: 3653 | Зарегистр. 24-01-2002 | Отправлено: 11:27 10-06-2003

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DBA Цитата: Это сразу сделали, по "факту". Но видимо раз уж засветился то адрес, то долбают. Проверьте. Есть вариант "порт закрыт" и есть "порт недоступен".   Цитата: большинство ломившихся на рэлей   Цитата: найдя халявный рэлей шлют через него деловую почту? А я вот не пойму зачем включать открытый релэй? Или есть большое желание попасть в черный список почтовиков?   Открытые релэи и прокси являются одними из основных целей ботов-сканеров.   Добавлено HAPPS Цитата: некий порт 2134 типа того Усек, тогда вам сюда: http://www.iana.org/assignments/port-numbers Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 11:31 10-06-2003

HAPPS Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ВО! нашел, это он, собака.. tivoconnect     2190/tcp   TiVoConnect Beacon tivoconnect     2190/udp   TiVoConnect Beacon ---------- ..это все, что останется после меня...это все, что возьму я с собой... Чемпион ВФЛП 2003/2004. Обладатель Суперкубка ВФЛП. Серебро РБП 2004. Русские Доски forever Всего записей: 3653 | Зарегистр. 24-01-2002 | Отправлено: 11:39 10-06-2003

DBA Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: зачем включать открытый релэй Досталось по наследству от предыдущего админа. Всего записей: 259 | Зарегистр. 18-01-2002 | Отправлено: 12:50 10-06-2003

Zlobny_John Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: хе,хе.... в теме про защите от прослушивания сниффер - я так понял прога не для защиты.. либо это другой некий сниффер?   или я допился до белки , или тема про несанкционированный траффик . Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 16:21 10-06-2003

Batman Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть такая проблема и у меня, пров считает по порту на кошке, и ему до фени что за траффик ко мне идет, разница доходила: 35 метров у меня - у прова показывает 723 метра за сутки.   Решил следующим образом: 1. Переговорил с админом, он согласился уменьшить выставленный траффик. 2. Перешел на VPN-подключение   З.Ы. Слышал, что пакеты кошка кидает и на все порты, накручивая таким образом до 10-30 метров за сутки. Так ли это?   Всего записей: 132 | Зарегистр. 15-02-2003 | Отправлено: 12:24 14-06-2003

neperap Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Batman Цитата: лышал, что пакеты кошка кидает и на все порты, накручивая таким образом до 10-30 метров за сутки. Так ли это Доказательства в студию.   А по поводу топика.   В данном случае пров *полностью* прав. Посему как на NAS'е, который обслуживает тебя, этот пакет прошел и счетчик щелкнул. Что ты будешь делать с этим пакетом -- это твои тараканы. Если есть большой левый траффик -- тушить его надо на уровень выше, еще до NAS'а. ---------- Чем больше женщину мы меньше, тем меньше больше она нас. make: *** No rule to make target `love'. Stop. Всего записей: 474 | Зарегистр. 15-06-2002 | Отправлено: 21:12 14-06-2003

Loafer Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Batman точно так если пров считает на "своей стороне" и нет если "у тебя" выход кроме "разговоров с провом" пока тока один нашелся VPN ...   еще идеи есть ?       Добавлено в догонку: чем пров мерит (считает) гиги? ---------- Никнейм зарегистрирован Всего записей: 6457 | Зарегистр. 09-12-2001 | Отправлено: 21:52 14-06-2003

Страницы: 1 2 3 4 5 6 7 8

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Несанкционированный трафик и провайдеры ...

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование