Jump to content

На суд общественности


Recommended Posts

Суть собствено вот в чём:

 

Основной трафик припадает на ip моего почтового сервера.

основной трафик - входящий.

Почту отправляю через рилей провайдра - прием напрямую.

Много трафика есть в один день - 10 Гб входящего

Больше никак служб нету на этом тазике.

По логам почтового сервера принято в эти сутки было 138 сообщений.

но что самое интересное тазик имеет внутрений ip и шлюз. А алиасом прописан внешний на котором было много трафика.

Т.е. если почтовик инициирует соединение то бежит он не через внешний ip а через внутрений на шлюз который тарифицировался.

В случае если инициировал соединение удалённый сервер на внешнй Ip почтовика - то трафик возвращался всеравно через внутрений.

Единственый ИМХО способ накрутить трафик входящий на этот внешний ip - только непонятная атака. На почтовике стоит файрвол и он отвечает только на 25 110 80 порты.

Вопрос как можно было накрутить 10 Гб зарубежа?

 

Но почему это не отражено у меня в СТГ?

Link to post
Share on other sites
  • Replies 69
  • Created
  • Last Reply

Top Posters In This Topic

Фигасе, это ж статья.

что именно?

Незаконне копіювання комп'ютерної інформації

а если доступ был взят в открытом источнике?

Link to post
Share on other sites
Фигасе, это ж статья.

что именно?

Незаконне копіювання комп'ютерної інформації

а если доступ был взят в открытом источнике?

Как я понимаю у вас был украденный пароль, а это не совсем открытый доступ, это типа заволодиння информациею шляхом шахрайства или как то так трактуется

Link to post
Share on other sites

Получил детальную статистику на сегодняшний день.

Ужаснулся. Как так может быть что она не совпадает вообще никак с моей

т.е. в детализации нет ниодного ip который бы совпал с моей статистикой ?

 

ДОБАВЛЕНО:

Запутался сорри.

Edited by Den_LocalNet
Link to post
Share on other sites

Грохните его нафик и пусть невые..ся, то может кто-то базу таким макаром почикал а теперь юзер виноват. Стыдно должно быть "провайдеру".

Link to post
Share on other sites
Как я понимаю у вас был украденный пароль, а это не совсем открытый доступ, это типа заволодиння информациею шляхом шахрайства или как то так трактуется

Насколько я помню (раз посмотрел и забыл), пароль там был простой до неприличия, за пару минут взламывается любым переборщиком паролей или за 10 минут вручную угадывается при наличии мало-мальской инфы о взламываемом ресурсе и его хозяевах. Но основная проблема не в том, что пароль такой, а в том, что для данных такой важности вообще разрешен доступ извне. Причем он не перекрыт ни на уровне мускуля, ни на уровне файрвола и вебсервера... Это просто зоопарк непуганых идиотов какой-то...

Link to post
Share on other sites

По поводу предидущего поста о несовпадении статистики - сори. Детализацию выслали 2 дня подряд одним списком.... запутался.

Вот за сегодня. Вроде все верно. И трафика никакого левого нету.

 

моя статистика:

-> 05.00.00 - 05.30.00

    81.222.129.64                    3          55799            2188  0.000000

  193.203.218.129                    1          17848          17848  0.000000

  213.186.114.55                    0            3984            1116  0.000000

-> 05.30.00 - 06.00.00

  24.253.108.119                    3              30              0  0.000000

    61.218.16.227                    3            120              0  0.000000

    69.10.137.230                    3          38705            1840  0.000000

    69.128.4.221                    3            686              0  0.000000

  193.203.218.129                    1          17848          17848  0.000000

  200.90.188.110                    3            128              0  0.000000

  201.214.51.105                    3            783            816  0.000000

  213.159.245.42                    0          122723            3685  0.000000

  221.231.129.231                    3            404              0  0.000000

-> 06.00.00 - 06.30.00

    66.235.194.40                    3            276            208  0.000000

  193.138.232.23                    3            244            289  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    194.67.45.188                    3          90396            2949  0.000000

  209.133.124.84                    3            3881            1157  0.000000

  212.82.212.204                    0            3142            1127  0.000000

  218.175.60.217                    3            776            885  0.000000

  220.130.140.205                    3            380            539  0.000000

    221.172.3.126                    3            1748            1112  0.000000

    222.122.60.97                    3              48              0  0.000000

-> 06.30.00 - 07.00.03

      24.84.108.3                    3              52            144  0.000000

  193.138.232.23                    3            244            289  0.000000

  193.203.218.129                    1          17848          17848  0.000000

  200.118.40.223                    3            377            539  0.000000

-> 07.00.03 - 07.30.00

    24.80.99.100                    3            323            168  0.000000

  193.203.218.129                    1          17848          17848  0.000000

  211.114.61.221                    3            378            518  0.000000

    217.205.99.56                    3              96              0  0.000000

  218.160.75.131                    3            378            535  0.000000

-> 07.30.00 - 08.00.00

      24.84.108.3                    3              52              0  0.000000

  71.125.219.100                    3            385            553  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    204.16.208.74                    3            388              0  0.000000

  204.16.208.105                    3            906              0  0.000000

    219.151.32.77                    3            404              0  0.000000

-> 08.00.00 - 08.30.00

    64.92.172.122                    3            5198            1347  0.000000

  193.203.218.129                    1          17848          17848  0.000000

  200.153.218.113                    3              48              0  0.000000

    206.196.111.8                    3            2402            1011  0.000000

  217.164.233.212                    3            379            530  0.000000

    222.180.10.32                    3            404              0  0.000000

-> 08.30.00 - 09.00.00

    24.174.69.56                    3            381            581  0.000000

    80.86.194.197                    3              96              0  0.000000

  193.203.218.129                    1          17756          17756  0.000000

    194.67.45.188                    3          20701            1561  0.000000

  213.159.224.233                    0            535            700  0.000000

-> 09.00.00 - 09.30.00

    193.203.218.1                    0          117096            4231  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    194.67.23.125                    3            3299            1167  0.000000

    194.67.57.14                    3            3762            1171  0.000000

-> 09.30.00 - 10.00.00

    82.144.192.38                    0            2322            1290  0.000000

  193.203.218.129                    1          17848          17848  0.000000

      195.5.28.2                    3            707            862  0.000000

    220.10.141.41                    3            783            893  0.000000

-> 10.00.00 - 10.30.00

    67.168.99.53                    3            778            779  0.000000

    193.203.218.1                    0          99837            5085  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    194.67.23.56                    3            2931            1080  0.000000

    196.35.68.146                    3              96              0  0.000000

    217.16.26.207                    3            2059            1156  0.000000

-> 10.30.00 - 11.00.00

    193.203.218.1                    0          65590            2354  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    212.9.224.211                    0            5469            1251  0.000000

-> 11.00.00 - 11.30.00

      67.15.42.47                    3            2440            1018  0.000000

      71.96.1.52                    3              30              0  0.000000

    83.23.57.185                    3            377            530  0.000000

  193.109.180.195                    3              48              0  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    194.67.23.30                    3        1533074          32987  0.000000

    194.67.23.150                    3          152419            4335  0.000000

    194.187.49.3                    0            5326          37062  0.000000

    212.59.31.78                    3            779            917  0.000000

    217.20.175.20                    0          13849            1345  0.000000

  218.24.195.244                    3            991            922  0.000000

-> 11.30.00 - 12.00.00

      61.3.156.73                    3            208            237  0.000000

    61.11.112.127                    3            168            237  0.000000

    61.17.241.51                    3            1077            1268  0.000000

    61.139.54.94                    3            404              0  0.000000

    61.223.45.195                    3            781            930  0.000000

      82.193.96.4                    0            1627            1163  0.000000

    83.14.63.250                    3            378            570  0.000000

    87.207.82.228                    3            378            531  0.000000

  193.138.232.23                    3            732            867  0.000000

  193.203.218.129                    1          17848          17848  0.000000

    200.42.213.24                    3            504            650  0.000000

  200.184.104.225                    3            9032            1489  0.000000

    201.42.79.16                    3          11012            1419  0.000000

  218.150.108.167   

провайдер:

200604250500    193.203.218.130 83.222.2.70    0.016683        0.001415        i

        200604250520    193.203.218.130 213.186.114.55  0.003984        0.001116        u

        200604250520    193.203.218.130 81.222.129.64  0.055799        0.002188        i

        200604250540    193.203.218.130 200.90.188.110  0.000128        0      i

        200604250540    193.203.218.130 221.231.129.231 0.000404        0      i

        200604250550    193.203.218.130 213.159.245.42  0.122723        0.003685        u

        200604250550    193.203.218.130 69.128.4.221    0.000686        0      i

        200604250600    193.203.218.130 201.214.51.105  0.000783        0.000816        i

        200604250600    193.203.218.130 61.218.16.227  0.00012 0      i

        200604250610    193.203.218.130 209.133.124.84  0.003881        0.001157        i

        200604250610    193.203.218.130 212.82.212.204  0.003142        0.001127        u

        200604250610    193.203.218.130 221.172.3.126  0.001748        0.001112        i

        200604250610    193.203.218.130 69.10.137.230  0.038705        0.00184 i

        200604250620    193.203.218.130 194.67.45.188  0.090396        0.002949        i

        200604250620    193.203.218.130 220.130.140.205 0.00038 0.000539        i

        200604250620    193.203.218.130 66.235.194.40  0.000276        0.000208        i

        200604250630    193.203.218.130 193.138.232.23  0.000244        0.000289        i

        200604250630    193.203.218.130 218.175.60.217  0.000776        0.000885        i

        200604250640    193.203.218.130 193.138.232.23  0.000244        0.000289        i

        200604250650    193.203.218.130 24.84.108.3    5.2E-05 0.000144        i

        200604250700    193.203.218.130 200.118.40.223  0.000377        0.000539        i

        200604250710    193.203.218.130 24.80.99.100    0.000323        0.000168        i

        200604250720    193.203.218.130 211.114.61.221  0.000378        0.000518        i

        200604250720    193.203.218.130 217.205.99.56  9.6E-05 0      i

        200604250730    193.203.218.130 218.160.75.131  0.000378        0.000535        i

        200604250750    193.203.218.130 204.16.208.105  0.000906        0      i

        200604250750    193.203.218.130 204.16.208.74  0.000388        0      i

        200604250750    193.203.218.130 219.151.32.77  0.000404        0      i

        200604250750    193.203.218.130 24.84.108.3    5.2E-05 0      i

        200604250750    193.203.218.130 71.125.219.100  0.000385        0.000553        i

        200604250810    193.203.218.130 206.196.111.8  0.002402        0.001011        i

        200604250810    193.203.218.130 64.92.172.122  0.005198        0.001347        i

        200604250820    193.203.218.130 217.164.233.212 0.000379        0.00053 i

        200604250820    193.203.218.130 222.180.10.32  0.000404        0      i

        200604250840    193.203.218.130 80.86.194.197  9.6E-05 0      i

        200604250850    193.203.218.130 194.67.45.188  0.020701        0.001561        i

        200604250850    193.203.218.130 213.159.224.233 0.000535        0.0007  u

        200604250850    193.203.218.130 24.174.69.56    0.000381        0.000581        i

        200604250920    193.203.218.130 193.203.218.1  0      0.003178        u

        200604250930    193.203.218.130 193.203.218.1  0      0.001053        u

        200604250930    193.203.218.130 194.67.23.125  0.003299        0.001167        i

        200604250930    193.203.218.130 194.67.57.14    0.003762        0.001171        i

        200604251000    193.203.218.130 82.144.192.38  0.002322        0.00129 u

        200604251010    193.203.218.130 220.10.141.41  0.000783        0.000893        i

        200604251020    193.203.218.130 194.67.23.56    0.002931        0.00108 i

        200604251030    193.203.218.130 196.35.68.146  9.6E-05 0      i

        200604251040    193.203.218.130 193.203.218.1  0      0.005033        u

        200604251140    193.203.218.130 82.193.96.4    0.001627        0.001163        u

        200604251200    193.203.218.130 61.223.45.195  0.000194        0.000168        i

Link to post
Share on other sites

ещё интересная особенность - весь трафик "левый" на определённый ip.

вот он - 85.214.39.206

Конечно было бы круто если бы дали детализацию по портам - но говорят что нету:)

 

Пересмотрел статистику с внешнего интерфейса шлюза - с таким ip взамодействия небыло.

 

Как доказать что это не мой трафик? 500+ баксов на дороге не валяются.

Link to post
Share on other sites

вот ещё интересное замечание:

 

200604180900    85.214.39.206   184.249096      2.687264        i

200604180910    194.67.45.188   0.031199        0.001589        i

200604180910    84.62.132.43    0.045823        0.221828        i

200604180910    85.214.39.206   228.004282      3.33492 i

200604180920    62.233.242.5    9.2E-05 9.2E-05 i

200604180920    84.62.132.43    0.008879        0.030873        i

200604180920    85.214.39.206   178.39144       2.632116        i

 

Это фрагмент лога за 18 число с 9 часов утра до 9 часов и 20 минут.

активность со зловещим адрессом 85.214.39.206 была и в течении 20 минут было принято с него общей сложностью: 590,644818 Мбайт

Скорость обычно на забугор - 160-220Кбайт в сек.

Даже если принять что скорость была максимальной и даже пусть 250 Кбайт в сек, то 590 Мбайт НЕВОЗМОЖНО принять за 20 минут :)

 

З.ы. Для полноты хочу сказать что забугор у данного прова практически не юзаю т.к. есть более скоростной канал и дешевле намного. Может отсюда ноги растут?

 

 

Вот проверил скорость:

[root@gw0 04]# wget http://download.microsoft.com/download/4/a...90830-V1.15.exe

--15:00:12--  http://download.microsoft.com/download/4/a...90830-V1.15.exe

           => `Windows-KB890830-V1.15.exe'

Resolving download.microsoft.com... 208.175.160.126, 208.174.60.30

Connecting to download.microsoft.com|208.175.160.126|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 1,813,920 (1.7M) [application/octet-stream]

 

100%[==================================================================================================================>] 1,813,920    176.87K/s    ETA 00:00

 

15:00:19 (235.85 KB/s) - `Windows-KB890830-V1.15.exe' saved [1813920/1813920]

[root@gw0 04]# wget http://download.microsoft.com/download/4/5...812-x86-ENU.exe

--15:03:26--  http://download.microsoft.com/download/4/5...812-x86-ENU.exe

          => `WindowsXP-KB912812-x86-ENU.exe'

Resolving download.microsoft.com... 213.254.234.30, 213.249.102.94, 212.73.245.62

Connecting to download.microsoft.com|213.254.234.30|:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 5,027,568 (4.8M) [application/octet-stream]

 

100%[==================================================================================================================>] 5,027,568    227.35K/s    ETA 00:00

 

15:03:45 (253.12 KB/s) - `WindowsXP-KB912812-x86-ENU.exe' saved [5027568/5027568]

Link to post
Share on other sites

Хочу добавить что в принципе по качеству (последние 2-3) месяца данный пров вполне устраивает. Обещаную скорость (на укр) держат стабильно, предупреждают о перебоях. Но вот последие события расстроили совсем.

Link to post
Share on other sites
Даже если принять что скорость была максимальной и даже пусть 250 Кбайт в сек, то 590 Мбайт НЕВОЗМОЖНО принять за 20 минут :)

Возможно, если у них шейпер стоит. В этом случае вход ими же считается на максимальной скорости (т.к. он и приходит на максимальной), а к тебе отдается на твоей скорости, ~2 мегабита как я понимаю.

Link to post
Share on other sites

ну вот предоставляй граф скорости и пусть объяснят как за такое время могло накачаться такая инфа.

ибо мог и билл у них заглчить.

 

З. Ы. стг иногда, правда достаточно реджко пишет "смешные" цифры в лог.

типа клинт куда то зашел, а он ему поставил 500 метров за 10 минут.

так что не только СТГ глючит :)

Link to post
Share on other sites

Господа, ваша дискусия пошла не в то русло.

Начинайте читать договор с провайдером.

А там обычно написанно, что трафик считается биллингом провайдера.

Значит, если в биллинге 1 корова, то платить надо за одну корову, чтобы не нарушать отчетности.

Доказывать, что это не твой трафик не надо, пусть они доказывают, что он твой.

Link to post
Share on other sites

2nn: Согласен.

Если у них есть логи биллинга. то почему этот биллинг посчитал эти 56 гигов, как украину?

 

Кстати о пароле.

Даже если пароль стоит "1", то это уже пароль.

И подбор его считается взломом.

Link to post
Share on other sites
ещё интересная особенность - весь трафик "левый" на определённый ip.

вот он - 85.214.39.206

а если попробовать отписать владельцу этого IP и попытаться у него выяснить, что это был за незапрошеный трафик ?

Link to post
Share on other sites

держи карман шире!

ты бы ответил, если бы тебя спросили - мил человек как вы умудрились скачать 590Мб за 20 минут?

Link to post
Share on other sites
Провайдер приглашает абонента в офис. Рассказывает что из-за недочетов провайдера внешняя сетка ip зароученая на абонента не тарифицировалась. Предлагает оплатить 56ГБ зарубежного трафика.

Эти 56 гиг за текущий месяц, или и за предыдущие когда провайдер "провтыкал" ?

Link to post
Share on other sites
Эти 56 гиг за текущий месяц, или и за предыдущие когда провайдер "провтыкал" ?

За текущий.....

 

 

Кстати вот уже первые плоды.... Вчерашние логи разбирали - нашли 2Гб украины (трафик на колокол) которые были тарифицированы разными порциями в течении дня как забугор.

 

Это конечно же не означает что все другие дни была похожая ситуация, но согласитесь - даёт повод очень кропотливо перебрать ВСЕ логи.

 

На данный момент до выяснения и пересмотра всех логов была достигнута договоренность не отключать абонента, за что собственно спасибо.

 

з.ы. о ходе действия буду уведомлять тут.

Link to post
Share on other sites

Если хочешь, чтоб народ лучше въезжал в ситуацию, скажи, на каком основании они разделяют трафик на укр и мир?

Фиксированный список адресов, bgp ли ещё как.

И что там с роученной забугорной сеткой?

Link to post
Share on other sites
Если хочешь, чтоб народ лучше въезжал в ситуацию, скажи, на каком основании они разделяют трафик на укр и мир?

Фиксированный список адресов, bgp ли ещё как.

И что там с роученной забугорной сеткой?

Да тут все просто.

 

Счтают как и я по списку сетей с ix.net.ua

 

У меня есть основной ip к примеру 123.123.213.123. На него зароучена сетка 123.123.213.128/255.255.255.192 (мои внешние IP которые я даю клиентам)

 

 

вроде понятно....

Link to post
Share on other sites

Честно говоря, я не знаю какие отношения с провом, но расскажу случай, который был со мной.

Пров У (игрек) :)

По вине УТК пропал инет (ADSL у меня), т.к. УТК перекладывали кабеля на АТС, за что им спасибо. На 5 минут пропал инет и телефон. после этого всё включилось. Я в инет, а скорость как-то необычно маленькая...

я смотрю а там 64/64 вместо 512. у меня шок. а дело было уже под вечер.

Я звоню в сервис (благо круглосуточный) говорю, ребята, такая вот лажа...

после пол-минутной паузы (видно они там тоже офигели) говорят, Вас не в тот порт на АТс втыкнули. Я интересуюсь что будем делать, ибо мне это не очень нравиться. Они говорят, что просто поднимут на порту скорость и всё.

В ответ я спросил: А человек, у которого было 64 получит 512???

Ответ был: Да, но это наши проблемы, извините за неудобства!

 

Вот это к тому что в любой ситуации есть выход и надо здраво понимать кто прав, а кто нет.

Если у прова слетел биллинг (вспомните как полтора года назад лёг центральный коммутатор UMC и какие за это были компенсации абонентам) и не посчитал траф, то это его проблемы. И в таком случае цифра 56 или 65 или 2225 не берёться с потолка, а высчитываеться путём использования статистических данных, т.е. прогнозирование, т.е. грубо сумма всех предыдущих месяцев деиться на их количество и вот примерный траф за месяц. Грубо, но так честнее.

А вообще, я бы на месте прова позвонил и спросил есть ли статистика у юзера. и всё. попросил бы статистику ( сравнил бы если есть бекап), и сразу стало бы понятно кто жмот.

Клиентов надо ценить! Клиент всегда прав! :)

Ден, не поддавайся на провокации! Всё будет ок!

Кстати, если провайдер "провтыкал" доступ к своей базе, и стали известны конфиденциальные данные клиентов, то клиенты могут подать в суд. За разглашение. Провайдер должен обеспечить надёжное хранение этих данных.

Link to post
Share on other sites

Ай, любимымые дупли!!! У них маршрутизация на колокол падает то и дело. Хотя у меня уже вроде как прекратилось и в этом месяце таких траблов не наблюдалось. Сам на доблестном В-нете сижу уже почти два года. Но завтра я с него спрыгиваю. Как я рад - представить себе не можете. Реально, на UA-IX действует 3 различных канала (один дуплевский) и за месяц через мир все равно проходит до 150 гигов!!!!!!! украины. Вот такой прикольный пров. А откуда ноги у обсуждаемого в этом посте прова растут всем известно. Вот и выводы.

Когда по их вине у меня люди влетали на мир - приходилось пересчитывать трафик. Клиент в этом случае не виноват. Были, конечно, после этого нюансы с оборзевшими юзверями, что думали что я вообще все спишу (в т.ч. и честно скачанный мир перекину на украину), но это уже другая история.

Link to post
Share on other sites

Ну что вам сказать. перебрать логи детальной статистики за месяц это не быстро.... особенно если её не хотят предоставить в удобочитаемом виде а не одной кучей текста в 12 млн записей.

 

Попросил что бы разложили в отдельное файло по ссуткам и по ip

у меня там трафик спорный реально на 9 Ip т.е. 9*26=234 файлика.

 

Сказали что так не будет. Ладно.... я лезть не буду....

Главное что бы 8 числа не отключили :)

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...