natiss 16 Posted 2012-03-03 10:58:25 Share Posted 2012-03-03 10:58:25 Эти домены висят на виртуальном хостинге, где кроме них по 10-30 сайтов ещё дополнительно. Поскольку netflow протокол не расчитан на логирование доменного имени, а только айпи-адреса, Вы потенциально можете оклеветать рядового пользователя. ИМХО, запрос составлен крайне неграмотно, user-agent со стороны хостера (hetzner) стоит запрашивать, а ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины. А толку от знания юзер-агента? Ну что это даст? Как при Сталине, расстрелять всех , у кого Firefox 5.0, и, для надежностии, в лагеря всех, у кого ядро Gesko? А шпиьоён просто изменил агент в опере... В догонку, а как грамотно составить запрос? Link to post Share on other sites
ESP 7 Posted 2012-03-03 15:41:44 Share Posted 2012-03-03 15:41:44 Эти домены висят на виртуальном хостинге, где кроме них по 10-30 сайтов ещё дополнительно. Поскольку netflow протокол не расчитан на логирование доменного имени, а только айпи-адреса, Вы потенциально можете оклеветать рядового пользователя. ИМХО, запрос составлен крайне неграмотно, user-agent со стороны хостера (hetzner) стоит запрашивать, а ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины. А толку от знания юзер-агента? Ну что это даст? Как при Сталине, расстрелять всех , у кого Firefox 5.0, и, для надежностии, в лагеря всех, у кого ядро Gesko? А шпиьоён просто изменил агент в опере... В догонку, а как грамотно составить запрос? Зря пенитесь, я же написал: ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины. User-Agent провайдер теоретически держать не может, разве что дампить трафик (но тогда копираты по судам затаскают). А вот хостеры логировать любят, им проще. Касательно правильного составления запроса - Вы что первое письмо получаете от СБУ? Обычно это точное время инцидента, адрес dst по отношению к которому были проведены действия. Link to post Share on other sites
natiss 16 Posted 2012-03-03 16:29:56 Share Posted 2012-03-03 16:29:56 Касательно правильного составления запроса - Вы что первое письмо получаете от СБУ? Обычно это точное время инцидента, адрес dst по отношению к которому были проведены действия. Вы согласны, что src адрес у них тоже есть? Если да, то предположив отсутствие NAT, хаотичной динамики и т.п., верно, что никакие провйдерские логи то и не нужны, да? Если адреса распределяются хаотично, то задача преобразования интернет-адреса в конечного абонента не решаема. А теперь 2 вопроса: 1) вас заставляют сопоставлять IP (или логин туннельного интерфейса, или логин для веб-авторизации etc) с конкретным абонентом? 2) (релятивный от ответа на в.1 и изложенных выше мыслей, обвернутый в более простую форму) От чего больше пользы: а) от козла при получении молока б) от netflow-логов провайдера при поисках киберпресптупника? Link to post Share on other sites
Гайджин 574 Posted 2012-03-03 16:36:19 Share Posted 2012-03-03 16:36:19 От чего больше пользы: а) от козла при получении молока б) от netflow-логов провайдера при поисках киберпресптупника? Ответ: Б. Link to post Share on other sites
natiss 16 Posted 2012-03-03 16:38:01 Share Posted 2012-03-03 16:38:01 Мне кажется, что уровень пользы в общем случае одинаков. Link to post Share on other sites
Гайджин 574 Posted 2012-03-03 17:52:55 Share Posted 2012-03-03 17:52:55 Мне кажется, что уровень пользы в общем случае одинаков. При определенных раскладах Б способен дать 100% результат. Link to post Share on other sites
ESP 7 Posted 2012-03-03 18:56:01 Share Posted 2012-03-03 18:56:01 Касательно правильного составления запроса - Вы что первое письмо получаете от СБУ? Обычно это точное время инцидента, адрес dst по отношению к которому были проведены действия. Вы согласны, что src адрес у них тоже есть? Если да, то предположив отсутствие NAT, хаотичной динамики и т.п., верно, что никакие провйдерские логи то и не нужны, да? Если адреса распределяются хаотично, то задача преобразования интернет-адреса в конечного абонента не решаема. А теперь 2 вопроса: 1) вас заставляют сопоставлять IP (или логин туннельного интерфейса, или логин для веб-авторизации etc) с конкретным абонентом? 2) (релятивный от ответа на в.1 и изложенных выше мыслей, обвернутый в более простую форму) От чего больше пользы: а) от козла при получении молока б) от netflow-логов провайдера при поисках киберпресптупника? Что значит не решаема? На каком уровне задача не решаема? Чем нетфлоу-логи помогут в установлении того факта, что пользователь действительно зашел именно на запрещённый сайт висящий на виртуальном хосте среди десятка прочих "скрывающихся" под 1 айпи? Я за отчет двумя руками, но с более конкретными параметрами. Link to post Share on other sites
nickolayenko 5 Posted 2012-03-03 19:05:10 Share Posted 2012-03-03 19:05:10 мне принесли тоже, только указали конкретный айпишник и время когда он что то там "творил" печати нет, только подпись, исходящий номер запроса и номер дела. Удивило то, что дело 2010 года... Link to post Share on other sites
natiss 16 Posted 2012-03-03 19:36:08 Share Posted 2012-03-03 19:36:08 Что значит не решаема? На каком уровне задача не решаема? Если в сети нет привязки IP-абонент, задача становится не решаемой. Вы скажаете "ТА КАК ЭТО ТАК, НЕТ ПРИВЯЗКИ????" А я отвечу - РРРоЕ, DHCP etc. Например есть привязка к логину или MAC. Вот тут надо поднимать логи радиуса или дхсп-сервера. Но вот каким боком тут нетфлоу, я не понимаю. Если идет речь о посетиле сайта газенваген.де с юзерагентом годззила, то такая задача не решаема даже с вашим любимым нетфлоу. Да, 99,9999999%, что никто другой в это же время не полезет на этот зачуханный недохост, да и практика 1000500 сайтов на одном айпи у фашистов не популярна, но всё же ТЗ поставлено не корректно. Идем дальше, что вы можете высосать из провайдера, кроме IP? Вы дадите 100% гарантии, что этот адрес привязан к конкретному порту в конкретное время и что продал родину именно абонент вася пупкин из 3-го дома строителей кв. 28? Ваши логи имеют вес, как доказательство в суде? Нотариально заверенный скриншот в студию. Приедет спецназ брать террорирста, а там бабушка - Божий одуванчик на квартире - ничего не знаю сынки. Какие действия? Я клоню к тому, что это всё полный бред, пережёвывание соплей, перекладывание из пустого в порожнее, растягивание кота за хвост и т.п. ерунда. Никаких реальных мероприятий для реальной борббы с киберппреступностью нет, к сожалению, и врядли предвидятся. Link to post Share on other sites
natiss 16 Posted 2012-03-03 19:38:12 Share Posted 2012-03-03 19:38:12 (edited) Мне кажется, что уровень пользы в общем случае одинаков. При определенных раскладах Б способен дать 100% результат. Разве что если 9 планет выстроятся в одну линию и при этом еще симфонический концерт раков насвистит марсельезу. IP на лбу не написан. Как говорят в харькове, "миша, всё фигня..." Edited 2012-03-03 19:39:01 by natiss Link to post Share on other sites
ESP 7 Posted 2012-03-03 20:49:45 Share Posted 2012-03-03 20:49:45 Что значит не решаема? На каком уровне задача не решаема? Если в сети нет привязки IP-абонент, задача становится не решаемой. Вы скажаете "ТА КАК ЭТО ТАК, НЕТ ПРИВЯЗКИ????" А я отвечу - РРРоЕ, DHCP etc. Например есть привязка к логину или MAC. Вот тут надо поднимать логи радиуса или дхсп-сервера. Но вот каким боком тут нетфлоу, я не понимаю. Если идет речь о посетиле сайта газенваген.де с юзерагентом годззила, то такая задача не решаема даже с вашим любимым нетфлоу. Да, 99,9999999%, что никто другой в это же время не полезет на этот зачуханный недохост, да и практика 1000500 сайтов на одном айпи у фашистов не популярна, но всё же ТЗ поставлено не корректно. Идем дальше, что вы можете высосать из провайдера, кроме IP? Вы дадите 100% гарантии, что этот адрес привязан к конкретному порту в конкретное время и что продал родину именно абонент вася пупкин из 3-го дома строителей кв. 28? Ваши логи имеют вес, как доказательство в суде? Нотариально заверенный скриншот в студию. Приедет спецназ брать террорирста, а там бабушка - Божий одуванчик на квартире - ничего не знаю сынки. Какие действия? Я клоню к тому, что это всё полный бред, пережёвывание соплей, перекладывание из пустого в порожнее, растягивание кота за хвост и т.п. ерунда. Никаких реальных мероприятий для реальной борббы с киберппреступностью нет, к сожалению, и врядли предвидятся. Ну Вы даёте! О чем мы спорим тут пол дня? Мы по одну сторону барикад, вчитайтесь о чем я писал с самого начала. Но все же Ваша критика хромает - она должна быть конструктивной, ибо с таким подходом(все действия безполезны) Украина и дальше будет оставатся "покращеной" страной. PS: По законодательству Вы должны хранить таймстампы с адреса пользовательской сесси. Так что не получится отвертется. Link to post Share on other sites
ramsess 187 Posted 2012-03-03 20:57:24 Share Posted 2012-03-03 20:57:24 По какому законодательству ? Что такое пользовательская сессия в этом законодательсве ? Здается мне что вы ведете речь о телефонии. Link to post Share on other sites
Sanito 129 Posted 2012-03-03 20:58:39 Share Posted 2012-03-03 20:58:39 Разве что если 9 планет выстроятся в одну линию и при этом еще симфонический концерт раков насвистит марсельезу. Честно говоря, немного напрягся. Сидел и думал, при чем тут "девятый Planet", одна линия и концерт. Показалось что это наезд на Planet, его свитчи и т.п..... Вывод: надо меньше работать и больше отдыхать. Link to post Share on other sites
ESP 7 Posted 2012-03-03 21:05:27 Share Posted 2012-03-03 21:05:27 По какому законодательству ? Что такое пользовательская сессия в этом законодательсве ? Здается мне что вы ведете речь о телефонии. Ну в таком случае вместо даных храните 1-2 кило баксов. Link to post Share on other sites
ramsess 187 Posted 2012-03-03 21:52:18 Share Posted 2012-03-03 21:52:18 А почему не мегабаксов ? Гулять - так гулять! Link to post Share on other sites
Sergek 123 Posted 2012-03-04 08:32:20 Share Posted 2012-03-04 08:32:20 В процессе данной дискусси таки блещит украинская ментальность. А нах оно надо, а мне пофик. Моя хата скраю. Нет я не хочу сказать, что нужно вот так сразу всем кому не попадя выдавать инфу. Посмотрим в другой плоскости. Не дай бог конечно, но против вас или вашего семейства совершено преступление с использованием сети интернет. И следствие уперлось в невозможность получить информацию о преступнике от конкретного ISР. Я думаю вы будете очень растроены за такого ISP. Пусть даже в процессе разбора нетфлоу обнаружится 20 человек посещавших этот ресурс, да хоть 50 дальше уже не ваше дело, пусть ходят и работают дальше, а вы свое дело сделали верно. Link to post Share on other sites
Гайджин 574 Posted 2012-03-04 09:48:23 Share Posted 2012-03-04 09:48:23 Пусть даже в процессе разбора нетфлоу обнаружится 20 человек посещавших этот ресурс, да хоть 50 дальше уже не ваше дело, пусть ходят и работают дальше, а вы свое дело сделали верно. Беда в том, что для того что бы Вы сделали свое дело верно, все остальные тоже дольжны сделать все верно. - А вот с этим как раз проблеммы. Link to post Share on other sites
natiss 16 Posted 2012-03-04 12:11:32 Share Posted 2012-03-04 12:11:32 Разве что если 9 планет выстроятся в одну линию и при этом еще симфонический концерт раков насвистит марсельезу. Честно говоря, немного напрягся. Сидел и думал, при чем тут "девятый Planet", одна линия и концерт. Показалось что это наезд на Planet, его свитчи и т.п..... Вывод: надо меньше работать и больше отдыхать. Извиняюсь, уже засыпал, имел в виду "симфонический оркестр" Link to post Share on other sites
natiss 16 Posted 2012-03-04 12:17:12 Share Posted 2012-03-04 12:17:12 В процессе данной дискусси таки блещит украинская ментальность. А нах оно надо, а мне пофик. Моя хата скраю. Нет я не хочу сказать, что нужно вот так сразу всем кому не попадя выдавать инфу. Посмотрим в другой плоскости. Не дай бог конечно, но против вас или вашего семейства совершено преступление с использованием сети интернет. И следствие уперлось в невозможность получить информацию о преступнике от конкретного ISР. Я думаю вы будете очень растроены за такого ISP. Пусть даже в процессе разбора нетфлоу обнаружится 20 человек посещавших этот ресурс, да хоть 50 дальше уже не ваше дело, пусть ходят и работают дальше, а вы свое дело сделали верно. Да ведь дело в том, что IP на лбу не написан. Лог нетфлоу - не доказательство. Точно также, как номер сотового телефона не позволяет идентифицировать говорящего. ISP не может анализирвоать гигабиты трафика. Да, ситуация неприятная, но для того, чтобы можно было точно сопоставить человека с IP надо целый комплекс мер. Так, как это делается в Украине сейчас, в реалиях 100-ки за окурок.... ну тут вообще надо сказать ISP спасибо, что еще живы. Link to post Share on other sites
natiss 16 Posted 2012-03-04 12:19:02 Share Posted 2012-03-04 12:19:02 PS: По законодательству Вы должны хранить таймстампы с адреса пользовательской сесси. Так что не получится отвертется. Процитируйте закон. Дайте определение сессии и таймстампа. Логи с IP и временем у них и так есть со стороны потерпевшего. С вашей стороны эти логи совершенно бесполезны, если не сипользуется NAT. От вас требуется сопоставить их с конкретной ФИО, а где сказано в законе о обязательности такого действия? Да, есть такой IP, но у нас же гигабит за рупчик, - скажет такой провайдер, - поэтому все (имеют скорость по физике порта и платят абонплату 1 грн/месяц, должников выключаем гася порт) получают адреса автоматом... Link to post Share on other sites
ESP 7 Posted 2012-03-04 15:35:22 Share Posted 2012-03-04 15:35:22 PS: По законодательству Вы должны хранить таймстампы с адреса пользовательской сесси. Так что не получится отвертется. Процитируйте закон. Дайте определение сессии и таймстампа. Логи с IP и временем у них и так есть со стороны потерпевшего. С вашей стороны эти логи совершенно бесполезны, если не сипользуется NAT. От вас требуется сопоставить их с конкретной ФИО, а где сказано в законе о обязательности такого действия? Да, есть такой IP, но у нас же гигабит за рупчик, - скажет такой провайдер, - поэтому все (имеют скорость по физике порта и платят абонплату 1 грн/месяц, должников выключаем гася порт) получают адреса автоматом... Прочтите закон сами. Дело не в потерпевшем, в а том что их колличество может рости (детей-дибилов полно). Опять же судя по специфике сайтов. И все мы прекрасно понимаем сколько десятков способов закрытия нелегального ресурса есть. Но нет, надо было выбрать самый "дубовый" способ. Здесь Вы можете писать что угодно, но надежно оперется на "правовую плоскость" Вы не сможете. Ни сегодня, ни завтра, до того времени пока совковый менталитет не пройдет. Захотят - нагнут, пардон за выражение. Link to post Share on other sites
Wild 3 Posted 2012-03-04 16:45:59 Share Posted 2012-03-04 16:45:59 Пришло письмо, в котором просят предоставить инфу посещавших сайты о пиротехники. Но мы не сохраняем логи. Что им ответить? Мол никто не посещал эти ресурсы? Казуистика - хорошая разминка для ума. Скажите что в ваших логах информации о подобных посещениях нет. Это ведь правда? Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now