natiss 16 Опубліковано: 2012-03-03 10:58:25 Share Опубліковано: 2012-03-03 10:58:25 Эти домены висят на виртуальном хостинге, где кроме них по 10-30 сайтов ещё дополнительно. Поскольку netflow протокол не расчитан на логирование доменного имени, а только айпи-адреса, Вы потенциально можете оклеветать рядового пользователя. ИМХО, запрос составлен крайне неграмотно, user-agent со стороны хостера (hetzner) стоит запрашивать, а ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины. А толку от знания юзер-агента? Ну что это даст? Как при Сталине, расстрелять всех , у кого Firefox 5.0, и, для надежностии, в лагеря всех, у кого ядро Gesko? А шпиьоён просто изменил агент в опере... В догонку, а как грамотно составить запрос? Ссылка на сообщение Поделиться на других сайтах
ESP 7 Опубліковано: 2012-03-03 15:41:44 Share Опубліковано: 2012-03-03 15:41:44 Эти домены висят на виртуальном хостинге, где кроме них по 10-30 сайтов ещё дополнительно. Поскольку netflow протокол не расчитан на логирование доменного имени, а только айпи-адреса, Вы потенциально можете оклеветать рядового пользователя. ИМХО, запрос составлен крайне неграмотно, user-agent со стороны хостера (hetzner) стоит запрашивать, а ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины. А толку от знания юзер-агента? Ну что это даст? Как при Сталине, расстрелять всех , у кого Firefox 5.0, и, для надежностии, в лагеря всех, у кого ядро Gesko? А шпиьоён просто изменил агент в опере... В догонку, а как грамотно составить запрос? Зря пенитесь, я же написал: ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины. User-Agent провайдер теоретически держать не может, разве что дампить трафик (но тогда копираты по судам затаскают). А вот хостеры логировать любят, им проще. Касательно правильного составления запроса - Вы что первое письмо получаете от СБУ? Обычно это точное время инцидента, адрес dst по отношению к которому были проведены действия. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-03 16:29:56 Share Опубліковано: 2012-03-03 16:29:56 Касательно правильного составления запроса - Вы что первое письмо получаете от СБУ? Обычно это точное время инцидента, адрес dst по отношению к которому были проведены действия. Вы согласны, что src адрес у них тоже есть? Если да, то предположив отсутствие NAT, хаотичной динамики и т.п., верно, что никакие провйдерские логи то и не нужны, да? Если адреса распределяются хаотично, то задача преобразования интернет-адреса в конечного абонента не решаема. А теперь 2 вопроса: 1) вас заставляют сопоставлять IP (или логин туннельного интерфейса, или логин для веб-авторизации etc) с конкретным абонентом? 2) (релятивный от ответа на в.1 и изложенных выше мыслей, обвернутый в более простую форму) От чего больше пользы: а) от козла при получении молока б) от netflow-логов провайдера при поисках киберпресптупника? Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2012-03-03 16:36:19 Share Опубліковано: 2012-03-03 16:36:19 От чего больше пользы: а) от козла при получении молока б) от netflow-логов провайдера при поисках киберпресптупника? Ответ: Б. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-03 16:38:01 Share Опубліковано: 2012-03-03 16:38:01 Мне кажется, что уровень пользы в общем случае одинаков. Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2012-03-03 17:52:55 Share Опубліковано: 2012-03-03 17:52:55 Мне кажется, что уровень пользы в общем случае одинаков. При определенных раскладах Б способен дать 100% результат. Ссылка на сообщение Поделиться на других сайтах
ESP 7 Опубліковано: 2012-03-03 18:56:01 Share Опубліковано: 2012-03-03 18:56:01 Касательно правильного составления запроса - Вы что первое письмо получаете от СБУ? Обычно это точное время инцидента, адрес dst по отношению к которому были проведены действия. Вы согласны, что src адрес у них тоже есть? Если да, то предположив отсутствие NAT, хаотичной динамики и т.п., верно, что никакие провйдерские логи то и не нужны, да? Если адреса распределяются хаотично, то задача преобразования интернет-адреса в конечного абонента не решаема. А теперь 2 вопроса: 1) вас заставляют сопоставлять IP (или логин туннельного интерфейса, или логин для веб-авторизации etc) с конкретным абонентом? 2) (релятивный от ответа на в.1 и изложенных выше мыслей, обвернутый в более простую форму) От чего больше пользы: а) от козла при получении молока б) от netflow-логов провайдера при поисках киберпресптупника? Что значит не решаема? На каком уровне задача не решаема? Чем нетфлоу-логи помогут в установлении того факта, что пользователь действительно зашел именно на запрещённый сайт висящий на виртуальном хосте среди десятка прочих "скрывающихся" под 1 айпи? Я за отчет двумя руками, но с более конкретными параметрами. Ссылка на сообщение Поделиться на других сайтах
nickolayenko 5 Опубліковано: 2012-03-03 19:05:10 Share Опубліковано: 2012-03-03 19:05:10 мне принесли тоже, только указали конкретный айпишник и время когда он что то там "творил" печати нет, только подпись, исходящий номер запроса и номер дела. Удивило то, что дело 2010 года... Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-03 19:36:08 Share Опубліковано: 2012-03-03 19:36:08 Что значит не решаема? На каком уровне задача не решаема? Если в сети нет привязки IP-абонент, задача становится не решаемой. Вы скажаете "ТА КАК ЭТО ТАК, НЕТ ПРИВЯЗКИ????" А я отвечу - РРРоЕ, DHCP etc. Например есть привязка к логину или MAC. Вот тут надо поднимать логи радиуса или дхсп-сервера. Но вот каким боком тут нетфлоу, я не понимаю. Если идет речь о посетиле сайта газенваген.де с юзерагентом годззила, то такая задача не решаема даже с вашим любимым нетфлоу. Да, 99,9999999%, что никто другой в это же время не полезет на этот зачуханный недохост, да и практика 1000500 сайтов на одном айпи у фашистов не популярна, но всё же ТЗ поставлено не корректно. Идем дальше, что вы можете высосать из провайдера, кроме IP? Вы дадите 100% гарантии, что этот адрес привязан к конкретному порту в конкретное время и что продал родину именно абонент вася пупкин из 3-го дома строителей кв. 28? Ваши логи имеют вес, как доказательство в суде? Нотариально заверенный скриншот в студию. Приедет спецназ брать террорирста, а там бабушка - Божий одуванчик на квартире - ничего не знаю сынки. Какие действия? Я клоню к тому, что это всё полный бред, пережёвывание соплей, перекладывание из пустого в порожнее, растягивание кота за хвост и т.п. ерунда. Никаких реальных мероприятий для реальной борббы с киберппреступностью нет, к сожалению, и врядли предвидятся. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-03 19:38:12 Share Опубліковано: 2012-03-03 19:38:12 (відредаговано) Мне кажется, что уровень пользы в общем случае одинаков. При определенных раскладах Б способен дать 100% результат. Разве что если 9 планет выстроятся в одну линию и при этом еще симфонический концерт раков насвистит марсельезу. IP на лбу не написан. Как говорят в харькове, "миша, всё фигня..." Відредаговано 2012-03-03 19:39:01 natiss Ссылка на сообщение Поделиться на других сайтах
ESP 7 Опубліковано: 2012-03-03 20:49:45 Share Опубліковано: 2012-03-03 20:49:45 Что значит не решаема? На каком уровне задача не решаема? Если в сети нет привязки IP-абонент, задача становится не решаемой. Вы скажаете "ТА КАК ЭТО ТАК, НЕТ ПРИВЯЗКИ????" А я отвечу - РРРоЕ, DHCP etc. Например есть привязка к логину или MAC. Вот тут надо поднимать логи радиуса или дхсп-сервера. Но вот каким боком тут нетфлоу, я не понимаю. Если идет речь о посетиле сайта газенваген.де с юзерагентом годззила, то такая задача не решаема даже с вашим любимым нетфлоу. Да, 99,9999999%, что никто другой в это же время не полезет на этот зачуханный недохост, да и практика 1000500 сайтов на одном айпи у фашистов не популярна, но всё же ТЗ поставлено не корректно. Идем дальше, что вы можете высосать из провайдера, кроме IP? Вы дадите 100% гарантии, что этот адрес привязан к конкретному порту в конкретное время и что продал родину именно абонент вася пупкин из 3-го дома строителей кв. 28? Ваши логи имеют вес, как доказательство в суде? Нотариально заверенный скриншот в студию. Приедет спецназ брать террорирста, а там бабушка - Божий одуванчик на квартире - ничего не знаю сынки. Какие действия? Я клоню к тому, что это всё полный бред, пережёвывание соплей, перекладывание из пустого в порожнее, растягивание кота за хвост и т.п. ерунда. Никаких реальных мероприятий для реальной борббы с киберппреступностью нет, к сожалению, и врядли предвидятся. Ну Вы даёте! О чем мы спорим тут пол дня? Мы по одну сторону барикад, вчитайтесь о чем я писал с самого начала. Но все же Ваша критика хромает - она должна быть конструктивной, ибо с таким подходом(все действия безполезны) Украина и дальше будет оставатся "покращеной" страной. PS: По законодательству Вы должны хранить таймстампы с адреса пользовательской сесси. Так что не получится отвертется. Ссылка на сообщение Поделиться на других сайтах
ramsess 186 Опубліковано: 2012-03-03 20:57:24 Share Опубліковано: 2012-03-03 20:57:24 По какому законодательству ? Что такое пользовательская сессия в этом законодательсве ? Здается мне что вы ведете речь о телефонии. Ссылка на сообщение Поделиться на других сайтах
Sanito 129 Опубліковано: 2012-03-03 20:58:39 Share Опубліковано: 2012-03-03 20:58:39 Разве что если 9 планет выстроятся в одну линию и при этом еще симфонический концерт раков насвистит марсельезу. Честно говоря, немного напрягся. Сидел и думал, при чем тут "девятый Planet", одна линия и концерт. Показалось что это наезд на Planet, его свитчи и т.п..... Вывод: надо меньше работать и больше отдыхать. Ссылка на сообщение Поделиться на других сайтах
ESP 7 Опубліковано: 2012-03-03 21:05:27 Share Опубліковано: 2012-03-03 21:05:27 По какому законодательству ? Что такое пользовательская сессия в этом законодательсве ? Здается мне что вы ведете речь о телефонии. Ну в таком случае вместо даных храните 1-2 кило баксов. Ссылка на сообщение Поделиться на других сайтах
ramsess 186 Опубліковано: 2012-03-03 21:52:18 Share Опубліковано: 2012-03-03 21:52:18 А почему не мегабаксов ? Гулять - так гулять! Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2012-03-04 08:32:20 Share Опубліковано: 2012-03-04 08:32:20 В процессе данной дискусси таки блещит украинская ментальность. А нах оно надо, а мне пофик. Моя хата скраю. Нет я не хочу сказать, что нужно вот так сразу всем кому не попадя выдавать инфу. Посмотрим в другой плоскости. Не дай бог конечно, но против вас или вашего семейства совершено преступление с использованием сети интернет. И следствие уперлось в невозможность получить информацию о преступнике от конкретного ISР. Я думаю вы будете очень растроены за такого ISP. Пусть даже в процессе разбора нетфлоу обнаружится 20 человек посещавших этот ресурс, да хоть 50 дальше уже не ваше дело, пусть ходят и работают дальше, а вы свое дело сделали верно. Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2012-03-04 09:48:23 Share Опубліковано: 2012-03-04 09:48:23 Пусть даже в процессе разбора нетфлоу обнаружится 20 человек посещавших этот ресурс, да хоть 50 дальше уже не ваше дело, пусть ходят и работают дальше, а вы свое дело сделали верно. Беда в том, что для того что бы Вы сделали свое дело верно, все остальные тоже дольжны сделать все верно. - А вот с этим как раз проблеммы. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-04 12:11:32 Share Опубліковано: 2012-03-04 12:11:32 Разве что если 9 планет выстроятся в одну линию и при этом еще симфонический концерт раков насвистит марсельезу. Честно говоря, немного напрягся. Сидел и думал, при чем тут "девятый Planet", одна линия и концерт. Показалось что это наезд на Planet, его свитчи и т.п..... Вывод: надо меньше работать и больше отдыхать. Извиняюсь, уже засыпал, имел в виду "симфонический оркестр" Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-04 12:17:12 Share Опубліковано: 2012-03-04 12:17:12 В процессе данной дискусси таки блещит украинская ментальность. А нах оно надо, а мне пофик. Моя хата скраю. Нет я не хочу сказать, что нужно вот так сразу всем кому не попадя выдавать инфу. Посмотрим в другой плоскости. Не дай бог конечно, но против вас или вашего семейства совершено преступление с использованием сети интернет. И следствие уперлось в невозможность получить информацию о преступнике от конкретного ISР. Я думаю вы будете очень растроены за такого ISP. Пусть даже в процессе разбора нетфлоу обнаружится 20 человек посещавших этот ресурс, да хоть 50 дальше уже не ваше дело, пусть ходят и работают дальше, а вы свое дело сделали верно. Да ведь дело в том, что IP на лбу не написан. Лог нетфлоу - не доказательство. Точно также, как номер сотового телефона не позволяет идентифицировать говорящего. ISP не может анализирвоать гигабиты трафика. Да, ситуация неприятная, но для того, чтобы можно было точно сопоставить человека с IP надо целый комплекс мер. Так, как это делается в Украине сейчас, в реалиях 100-ки за окурок.... ну тут вообще надо сказать ISP спасибо, что еще живы. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2012-03-04 12:19:02 Share Опубліковано: 2012-03-04 12:19:02 PS: По законодательству Вы должны хранить таймстампы с адреса пользовательской сесси. Так что не получится отвертется. Процитируйте закон. Дайте определение сессии и таймстампа. Логи с IP и временем у них и так есть со стороны потерпевшего. С вашей стороны эти логи совершенно бесполезны, если не сипользуется NAT. От вас требуется сопоставить их с конкретной ФИО, а где сказано в законе о обязательности такого действия? Да, есть такой IP, но у нас же гигабит за рупчик, - скажет такой провайдер, - поэтому все (имеют скорость по физике порта и платят абонплату 1 грн/месяц, должников выключаем гася порт) получают адреса автоматом... Ссылка на сообщение Поделиться на других сайтах
ESP 7 Опубліковано: 2012-03-04 15:35:22 Share Опубліковано: 2012-03-04 15:35:22 PS: По законодательству Вы должны хранить таймстампы с адреса пользовательской сесси. Так что не получится отвертется. Процитируйте закон. Дайте определение сессии и таймстампа. Логи с IP и временем у них и так есть со стороны потерпевшего. С вашей стороны эти логи совершенно бесполезны, если не сипользуется NAT. От вас требуется сопоставить их с конкретной ФИО, а где сказано в законе о обязательности такого действия? Да, есть такой IP, но у нас же гигабит за рупчик, - скажет такой провайдер, - поэтому все (имеют скорость по физике порта и платят абонплату 1 грн/месяц, должников выключаем гася порт) получают адреса автоматом... Прочтите закон сами. Дело не в потерпевшем, в а том что их колличество может рости (детей-дибилов полно). Опять же судя по специфике сайтов. И все мы прекрасно понимаем сколько десятков способов закрытия нелегального ресурса есть. Но нет, надо было выбрать самый "дубовый" способ. Здесь Вы можете писать что угодно, но надежно оперется на "правовую плоскость" Вы не сможете. Ни сегодня, ни завтра, до того времени пока совковый менталитет не пройдет. Захотят - нагнут, пардон за выражение. Ссылка на сообщение Поделиться на других сайтах
Wild 3 Опубліковано: 2012-03-04 16:45:59 Share Опубліковано: 2012-03-04 16:45:59 Пришло письмо, в котором просят предоставить инфу посещавших сайты о пиротехники. Но мы не сохраняем логи. Что им ответить? Мол никто не посещал эти ресурсы? Казуистика - хорошая разминка для ума. Скажите что в ваших логах информации о подобных посещениях нет. Это ведь правда? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас