Левый трафик с NS серверов провайдера :: В помощь системному администратору

Всем доброго дня!

Народ, кто может прокомментируйте данную ситуацию.

Проблема следующая:

Каждый месяц начали приходить счета с большим трафиком, т.к. тарификация по мегабайтно, то это существенно отражается на сумме.

сентябрь 2015 - 17664 мб.
август 2015 - 3789 мб.
июль 2015 - 915 мб.
июнь 2015 - 14762 мб.
май 2015 - 10586 мб.
апрель 2015 - 186 мб.
март 2015 - 39 мб.
февраль 2015 - 588 мб.
январь 2015 - 2817 мб.
декабрь 2014 - 9573 мб.
ноябрь 2014 - 2045 мб.

началось с декабря 2014 потом всё нормально, в мае 2015 повторилось, в итоге в начале июня было сделано:
На модеме SmartAX MT882 ADSL2+ были сброшены настройки изменен пароль, настроен в режим роутера, а не моста как раньше было.
Отключен DHCP (соответствено DNS) скрин http://rghost.ru/6XW8QRd44/image.png
Включен HTTP доступ по 80 порту для удаленного доступа и настройки.
В июле и августе стало всё отлично, но в сентябре повторилось опять!
К модему подключен только один компьютер на нем выход в интернет заблочен,
только почтовый клиент в логах которого видно, что отправлено писем в месяц не более чем на 500-700мб.

Была запрошена детализация у провайдера по которой видно что их ns сервер каждые 15 минут отправляет 15-30мб. на модем.
фрагмент детализации (xls) http://rghost.ru/6cZNmqNqz

В итоге провайдеру отправлено письмо о том что их сервер ns.kttk.ru (80.72.225.2) накручивает трафик, последовал ответ:

"На DSL модеме были внесены изменения конфигурации устройства клиентом.

Модем стал виден из сети интерне по протоколу HTTP это можно увидеть
по скрину http://rghost.ru/6wJnY6pRx/image.png.
Следовательно были исключены или вообще выключены правила фильтрации, что подвергло DSL модем уязвимости.
Как утверждает клиент "трафик плюсуется (накручивается) с ваших серверов, как в дневное, так и в ночное время когда отключено всё оборудование" это следствие нарушение изменения настроек DSL модема.
В следствии чего стала возможность использовать DSL модем как кэширующий DNS сервер. Что подтверждает http://rghost.ru/7cTl7xygM/image.png
т.к. DSL модем клиента стал выступать в роли DNS сервера кэширующего то все запросы пришедшие из сети интернет он стал запрашивать у днс назначенных при авторизации PPP что подтверждает http://rghost.ru/8K42QLRm2/image.png
Отсюда и трафик с наших серверов как в дневное, так и в ночное время когда отключено всё оборудование кроме измененного DSL модема."

Самое интересное, что есть другие точки, где оборудование и настройки аналогичные только провайдер другой и там таких проблем нет! Первый раз столкнулся с данной проблемой.

Вопрос может ли модем выступать в роли кэширующего сервера DNS?
(http://rghost.ru/6XW8QRd44/image.png)

Где в этом модеме они нашли правила фильтрации?

Почему так вышло, кто виноват?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки