Платные хостинги     Раскрутка сайта     Другие сайты

Несанкционированный трафик и провайдеры ...

Суть проблемы. Подразделение фирмы арендует выделенку в бизнес-центре с публичным ИП. Оплата по договору за трафик (10$ за 100 Мб) + абонентка 10$ (+100Мб). Внутренняя сетка с приватными ИП подключена к выделенке через сервер под НТ с установленными на нем ВинРутом и почтовиком М-Демон. Само собой включен НАТ. Из портов открыты 80, 25, 110, 443. В один день вдруг с Инетом полная ж..., беда в общем - все лежит. Звоним местному прову - тот говорит что нас отрубили - чрезмерный суточный трафик из-за наличия у нас открытого SMTP релея. По статистике на веб сайте прова - трафик за пол дня якобы по Гигу в каждую сторону!!! За предыдущий день - по 200 Мб (столько бывает за треть месяца макс.).   Ну да ладно - Релей закрыли, с провом поругались, смотрим логи (настроены по всем включенным сервисам) и видим - левого SMTP трафику всего на 8 метров (~1700 мыл) за 3 дня! Причем надо учесть что Почтовик у нас архивирует 100% всей почты! По ВинРуту - туча обращений снаружи на 80 порт (но там только прокся с авторизацией?!).  Инет заработал - живем. На след. день по статистике прова входящий трафик стабильно пребывает по 8Мб в час, исходящий по 4-5 Мб. Причем сами в Инет не ходим, почту почти не шлем. В итоге трафику за день 150/70 Мб (вход/исх). Потребовали у прова лог - прислали кусок на 1,5 часа - там практически одни пакеты по 60 байт на 80 порт. Задропили в ВинРуте все ответы по 80 порту - упал до 0 исходящий трафик, а входящий в статистике так и пребывает. На след. день вообще выдернули кабель прова из сервера и видим в статистике туже картину - входящий траф. пребывает по 8 Мб в час!!!. Мы трясти прова. Его админ - "А вы что хотели, на ваш ИП идут пакеты, мы их честно считаем". Занавес! Так получается, что запусти какой нибудь децел пинг на наш ИП в цикле, эта сволочь (пров) насчитает нам трафика по самые помидоры, даже при выключенном сервере!!!. А ведь в конце месяца эти ироды выставят, при таком подходе, весьма круглый счет, можно сказать за воздух. К тому же откуда взялся в статистике прова Гиг трафика в день катаклизма - неизвестно. По нашим логам - Инет 3,5 Мб, почта 10 Мб. Итого - 13,5Мб!!! В общем какойто маразм.   Как с этим бороться?

за лохов вас держут не могут они щитать пакеты которые не дошли до адресата точней физически могут пропускать пакеты идущие на ваш адрес даже когда ваш комп не работает но ето незаконо   слать их надо нах совок похоже будет жить еще долго

1) Немедленно разорвать с ними договор (пока еще пару гигов не повесили) 2) Внимательно пересмтореть договор на предмет того а за что собс-но вы платите. Вообще, если ты выдергиваешь шнурок из компа, то твой айпи перестает существовать и пакеты должны обламываться на их маршрутизаторе. Как они умудряются их считать - не знаю... 3) Обратиться к грамотному юристу и в какое-нибудь общество по защите прав потребителей (или как там оно в твоей местности называется).

Сколько шнур не выдергивай - маршрут прописан на тебя. Даже если пакеты не доходят - они учитываются. Один из вариантов - фильтровать трафик у провайдера.   Цитата: Так получается, что запусти какой нибудь децел пинг на наш ИП в цикле, эта сволочь (пров) насчитает нам трафика по самые помидоры, даже при выключенном сервере!!!. Именно так. И никак по другому. Провайдер абсолютно не несет ответственности за то, что вас кто-то закидывает пакетами.

По договору мы оплачиваем входящий трафик за оказываемые нам услуги передачи данных   Цитата: фильтровать трафик у провайдера А за это они отдельных денег хотят Цитата: Провайдер абсолютно не несет ответственности   Да, но по договору он обязан обеспечить качественный сервис, причем соответствующий заявленной спецификации (пропусканая способность канала, время отклика и т.д.), а когда канал забит левым мусором ни о каком соответствии даже речи нет - вообще нефига не работает. Причем это не наш трафик - мы в этот момент не потребляем услуг передачи данных, которые являются предметом договора.   NiX   Представь - ты отключил мобилу, а тебе кто-то все равно звонит, сто раз прослушивает мессагу что абонент недоступен, и на утро ты уже должен оператору 100 баков? Понравиться? Ведь звонящие тебе напрягают сеть передачи данных и телефонное оборудование, а то и вообще звонят с межгорода - просто Эльдорадо для "Остапов Бендеров". Золотая жила!

Не, народ, тема в другом... мне кажется дело не в обслуге. У меня у самого такая тема была, тока там все измерялось гигабайтами...  я и сейчас понятия не имею куда-откуда и почему ко мне шли пакеты... Короче, практически аналогичная трабла (я правда на уровне прова ее решил). Просьба, если кто знает почему сие бывает - не флеймить. Тема реально серьезная.

а уже все сказали почему такое бывает и как бороться .     бывает - потому что изначально не было принято мер безопасности . Представь - юзера кинулись оставлять свое е-мыл где попало и теперь к вам прется несколько тыс. спаммерских емылов ежедневно . До вашего почтовика все доходят , траффик есть . При чем здесь пров ?  Так и здесь , если наоставлять открытых релеев и проксей то попадете к куулхацкерам на заметку а они на вас всяких ботов напустят . например внесли адрес вашего прокси в бот , который который проверяет доступность . траффик опять таки идет и пров тут не при чем .     бороться - однозначно вместе с провом . возможно - при помощи денег . \ поставить параллелдьно с винрутом какой-нибудь сниффер .

Нас так обычно всякие сканеры достают. Обычно хватает простого общения с хозяином сервера, достающего своими пакетами, либо с его провайдером.   ЗЫ: Так же не помешало б сделать свою сеть невидимкой, а почту и www, если надо, закинуть на провайдера.

то есть?   у меня трабла была с портом 21** это 100% не почта, но траффик так и пер... Цитата: сниффер где его найти?

  в Варезнике . я предпочитаю observer , наверно есть и более специфичные .

то есть? Т.е. не отвечать ни на какие внешние запросы, только исходящий трафик.   Кстати,  при хорошем прокси (я использую ISA Server) можно обойтись и без сниффера. Просто получаю на мобилку IP-адрес, с которого/через который пытались сканить/атаковать.   Цитата: у меня трабла была с портом 21** это 100% не почта, но траффик так и пер...     =======cut from %SystemRoot%\system32\drivers\etc\services========== ftp                21/tcp                           #FTP. control =======cut from %SystemRoot%\system32\drivers\etc\services==========

Это сразу сделали, по "факту". Но видимо раз уж засветился то адрес, то долбают. * Кстати к размышлению: первоначально большинство ломившихся на рэлей было с азиатских доменов (Китай, Корея) а уж потом прорвало со всего света.   * Сидел тут смотрел архив почты и что не пойму, то накой некоторые идолы найдя халявный рэлей шлют через него деловую почту? Шиза.   Цитата: Кстати,  при хорошем прокси   А вот на это рассчитывать не приходится. Стоит что проще и надежней. Обслуживать систему некому - спецов в штате нет. В офисе только несколько менеджеров да бухгалтеров. К тому же тачка под сервером отстойная...

хе,хе.... в теме про защите от прослушивания сниффер - я так понял прога не для защиты.. либо это другой некий сниффер? JcVai - это не ФТП, это некий порт 2134 типа того...

Проверьте. Есть вариант "порт закрыт" и есть "порт недоступен".   Цитата: большинство ломившихся на рэлей   Цитата: найдя халявный рэлей шлют через него деловую почту? А я вот не пойму зачем включать открытый релэй? Или есть большое желание попасть в черный список почтовиков?   Открытые релэи и прокси являются одними из основных целей ботов-сканеров.   Добавлено HAPPS Цитата: некий порт 2134 типа того Усек, тогда вам сюда: http://www.iana.org/assignments/port-numbers

ВО! нашел, это он, собака.. tivoconnect     2190/tcp   TiVoConnect Beacon tivoconnect     2190/udp   TiVoConnect Beacon

Досталось по наследству от предыдущего админа.

или я допился до белки , или тема про несанкционированный траффик .

Есть такая проблема и у меня, пров считает по порту на кошке, и ему до фени что за траффик ко мне идет, разница доходила: 35 метров у меня - у прова показывает 723 метра за сутки.   Решил следующим образом: 1. Переговорил с админом, он согласился уменьшить выставленный траффик. 2. Перешел на VPN-подключение   З.Ы. Слышал, что пакеты кошка кидает и на все порты, накручивая таким образом до 10-30 метров за сутки. Так ли это?  

Доказательства в студию.   А по поводу топика.   В данном случае пров *полностью* прав. Посему как на NAS'е, который обслуживает тебя, этот пакет прошел и счетчик щелкнул. Что ты будешь делать с этим пакетом -- это твои тараканы. Если есть большой левый траффик -- тушить его надо на уровень выше, еще до NAS'а.

Batman точно так если пров считает на "своей стороне" и нет если "у тебя" выход кроме "разговоров с провом" пока тока один нашелся VPN ...   еще идеи есть ?       Добавлено в догонку: чем пров мерит (считает) гиги?