Den_LocalNet 1,474 Posted 2006-04-25 10:41:00 Author Share Posted 2006-04-25 10:41:00 Суть собствено вот в чём: Основной трафик припадает на ip моего почтового сервера. основной трафик - входящий. Почту отправляю через рилей провайдра - прием напрямую. Много трафика есть в один день - 10 Гб входящего Больше никак служб нету на этом тазике. По логам почтового сервера принято в эти сутки было 138 сообщений. но что самое интересное тазик имеет внутрений ip и шлюз. А алиасом прописан внешний на котором было много трафика. Т.е. если почтовик инициирует соединение то бежит он не через внешний ip а через внутрений на шлюз который тарифицировался. В случае если инициировал соединение удалённый сервер на внешнй Ip почтовика - то трафик возвращался всеравно через внутрений. Единственый ИМХО способ накрутить трафик входящий на этот внешний ip - только непонятная атака. На почтовике стоит файрвол и он отвечает только на 25 110 80 порты. Вопрос как можно было накрутить 10 Гб зарубежа? Но почему это не отражено у меня в СТГ? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 10:43:07 Author Share Posted 2006-04-25 10:43:07 Фигасе, это ж статья. что именно? Незаконне копіювання комп'ютерної інформації а если доступ был взят в открытом источнике? Link to post Share on other sites
zulu_gluk 23 Posted 2006-04-25 10:52:04 Share Posted 2006-04-25 10:52:04 Фигасе, это ж статья. что именно? Незаконне копіювання комп'ютерної інформації а если доступ был взят в открытом источнике? Как я понимаю у вас был украденный пароль, а это не совсем открытый доступ, это типа заволодиння информациею шляхом шахрайства или как то так трактуется Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 10:56:29 Author Share Posted 2006-04-25 10:56:29 2zulu_gluk Дык я пароль увидел на форуме Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 10:58:08 Author Share Posted 2006-04-25 10:58:08 (edited) Получил детальную статистику на сегодняшний день. Ужаснулся. Как так может быть что она не совпадает вообще никак с моей т.е. в детализации нет ниодного ip который бы совпал с моей статистикой ? ДОБАВЛЕНО: Запутался сорри. Edited 2006-04-25 11:44:37 by Den_LocalNet Link to post Share on other sites
zulu_Radist 856 Posted 2006-04-25 11:03:51 Share Posted 2006-04-25 11:03:51 Грохните его нафик и пусть невые..ся, то может кто-то базу таким макаром почикал а теперь юзер виноват. Стыдно должно быть "провайдеру". Link to post Share on other sites
Civilizator 0 Posted 2006-04-25 11:14:17 Share Posted 2006-04-25 11:14:17 Как я понимаю у вас был украденный пароль, а это не совсем открытый доступ, это типа заволодиння информациею шляхом шахрайства или как то так трактуется Насколько я помню (раз посмотрел и забыл), пароль там был простой до неприличия, за пару минут взламывается любым переборщиком паролей или за 10 минут вручную угадывается при наличии мало-мальской инфы о взламываемом ресурсе и его хозяевах. Но основная проблема не в том, что пароль такой, а в том, что для данных такой важности вообще разрешен доступ извне. Причем он не перекрыт ни на уровне мускуля, ни на уровне файрвола и вебсервера... Это просто зоопарк непуганых идиотов какой-то... Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 11:37:31 Author Share Posted 2006-04-25 11:37:31 По поводу предидущего поста о несовпадении статистики - сори. Детализацию выслали 2 дня подряд одним списком.... запутался. Вот за сегодня. Вроде все верно. И трафика никакого левого нету. моя статистика: -> 05.00.00 - 05.30.00 81.222.129.64 3 55799 2188 0.000000 193.203.218.129 1 17848 17848 0.000000 213.186.114.55 0 3984 1116 0.000000 -> 05.30.00 - 06.00.00 24.253.108.119 3 30 0 0.000000 61.218.16.227 3 120 0 0.000000 69.10.137.230 3 38705 1840 0.000000 69.128.4.221 3 686 0 0.000000 193.203.218.129 1 17848 17848 0.000000 200.90.188.110 3 128 0 0.000000 201.214.51.105 3 783 816 0.000000 213.159.245.42 0 122723 3685 0.000000 221.231.129.231 3 404 0 0.000000 -> 06.00.00 - 06.30.00 66.235.194.40 3 276 208 0.000000 193.138.232.23 3 244 289 0.000000 193.203.218.129 1 17848 17848 0.000000 194.67.45.188 3 90396 2949 0.000000 209.133.124.84 3 3881 1157 0.000000 212.82.212.204 0 3142 1127 0.000000 218.175.60.217 3 776 885 0.000000 220.130.140.205 3 380 539 0.000000 221.172.3.126 3 1748 1112 0.000000 222.122.60.97 3 48 0 0.000000 -> 06.30.00 - 07.00.03 24.84.108.3 3 52 144 0.000000 193.138.232.23 3 244 289 0.000000 193.203.218.129 1 17848 17848 0.000000 200.118.40.223 3 377 539 0.000000 -> 07.00.03 - 07.30.00 24.80.99.100 3 323 168 0.000000 193.203.218.129 1 17848 17848 0.000000 211.114.61.221 3 378 518 0.000000 217.205.99.56 3 96 0 0.000000 218.160.75.131 3 378 535 0.000000 -> 07.30.00 - 08.00.00 24.84.108.3 3 52 0 0.000000 71.125.219.100 3 385 553 0.000000 193.203.218.129 1 17848 17848 0.000000 204.16.208.74 3 388 0 0.000000 204.16.208.105 3 906 0 0.000000 219.151.32.77 3 404 0 0.000000 -> 08.00.00 - 08.30.00 64.92.172.122 3 5198 1347 0.000000 193.203.218.129 1 17848 17848 0.000000 200.153.218.113 3 48 0 0.000000 206.196.111.8 3 2402 1011 0.000000 217.164.233.212 3 379 530 0.000000 222.180.10.32 3 404 0 0.000000 -> 08.30.00 - 09.00.00 24.174.69.56 3 381 581 0.000000 80.86.194.197 3 96 0 0.000000 193.203.218.129 1 17756 17756 0.000000 194.67.45.188 3 20701 1561 0.000000 213.159.224.233 0 535 700 0.000000 -> 09.00.00 - 09.30.00 193.203.218.1 0 117096 4231 0.000000 193.203.218.129 1 17848 17848 0.000000 194.67.23.125 3 3299 1167 0.000000 194.67.57.14 3 3762 1171 0.000000 -> 09.30.00 - 10.00.00 82.144.192.38 0 2322 1290 0.000000 193.203.218.129 1 17848 17848 0.000000 195.5.28.2 3 707 862 0.000000 220.10.141.41 3 783 893 0.000000 -> 10.00.00 - 10.30.00 67.168.99.53 3 778 779 0.000000 193.203.218.1 0 99837 5085 0.000000 193.203.218.129 1 17848 17848 0.000000 194.67.23.56 3 2931 1080 0.000000 196.35.68.146 3 96 0 0.000000 217.16.26.207 3 2059 1156 0.000000 -> 10.30.00 - 11.00.00 193.203.218.1 0 65590 2354 0.000000 193.203.218.129 1 17848 17848 0.000000 212.9.224.211 0 5469 1251 0.000000 -> 11.00.00 - 11.30.00 67.15.42.47 3 2440 1018 0.000000 71.96.1.52 3 30 0 0.000000 83.23.57.185 3 377 530 0.000000 193.109.180.195 3 48 0 0.000000 193.203.218.129 1 17848 17848 0.000000 194.67.23.30 3 1533074 32987 0.000000 194.67.23.150 3 152419 4335 0.000000 194.187.49.3 0 5326 37062 0.000000 212.59.31.78 3 779 917 0.000000 217.20.175.20 0 13849 1345 0.000000 218.24.195.244 3 991 922 0.000000 -> 11.30.00 - 12.00.00 61.3.156.73 3 208 237 0.000000 61.11.112.127 3 168 237 0.000000 61.17.241.51 3 1077 1268 0.000000 61.139.54.94 3 404 0 0.000000 61.223.45.195 3 781 930 0.000000 82.193.96.4 0 1627 1163 0.000000 83.14.63.250 3 378 570 0.000000 87.207.82.228 3 378 531 0.000000 193.138.232.23 3 732 867 0.000000 193.203.218.129 1 17848 17848 0.000000 200.42.213.24 3 504 650 0.000000 200.184.104.225 3 9032 1489 0.000000 201.42.79.16 3 11012 1419 0.000000 218.150.108.167 провайдер: 200604250500 193.203.218.130 83.222.2.70 0.016683 0.001415 i 200604250520 193.203.218.130 213.186.114.55 0.003984 0.001116 u 200604250520 193.203.218.130 81.222.129.64 0.055799 0.002188 i 200604250540 193.203.218.130 200.90.188.110 0.000128 0 i 200604250540 193.203.218.130 221.231.129.231 0.000404 0 i 200604250550 193.203.218.130 213.159.245.42 0.122723 0.003685 u 200604250550 193.203.218.130 69.128.4.221 0.000686 0 i 200604250600 193.203.218.130 201.214.51.105 0.000783 0.000816 i 200604250600 193.203.218.130 61.218.16.227 0.00012 0 i 200604250610 193.203.218.130 209.133.124.84 0.003881 0.001157 i 200604250610 193.203.218.130 212.82.212.204 0.003142 0.001127 u 200604250610 193.203.218.130 221.172.3.126 0.001748 0.001112 i 200604250610 193.203.218.130 69.10.137.230 0.038705 0.00184 i 200604250620 193.203.218.130 194.67.45.188 0.090396 0.002949 i 200604250620 193.203.218.130 220.130.140.205 0.00038 0.000539 i 200604250620 193.203.218.130 66.235.194.40 0.000276 0.000208 i 200604250630 193.203.218.130 193.138.232.23 0.000244 0.000289 i 200604250630 193.203.218.130 218.175.60.217 0.000776 0.000885 i 200604250640 193.203.218.130 193.138.232.23 0.000244 0.000289 i 200604250650 193.203.218.130 24.84.108.3 5.2E-05 0.000144 i 200604250700 193.203.218.130 200.118.40.223 0.000377 0.000539 i 200604250710 193.203.218.130 24.80.99.100 0.000323 0.000168 i 200604250720 193.203.218.130 211.114.61.221 0.000378 0.000518 i 200604250720 193.203.218.130 217.205.99.56 9.6E-05 0 i 200604250730 193.203.218.130 218.160.75.131 0.000378 0.000535 i 200604250750 193.203.218.130 204.16.208.105 0.000906 0 i 200604250750 193.203.218.130 204.16.208.74 0.000388 0 i 200604250750 193.203.218.130 219.151.32.77 0.000404 0 i 200604250750 193.203.218.130 24.84.108.3 5.2E-05 0 i 200604250750 193.203.218.130 71.125.219.100 0.000385 0.000553 i 200604250810 193.203.218.130 206.196.111.8 0.002402 0.001011 i 200604250810 193.203.218.130 64.92.172.122 0.005198 0.001347 i 200604250820 193.203.218.130 217.164.233.212 0.000379 0.00053 i 200604250820 193.203.218.130 222.180.10.32 0.000404 0 i 200604250840 193.203.218.130 80.86.194.197 9.6E-05 0 i 200604250850 193.203.218.130 194.67.45.188 0.020701 0.001561 i 200604250850 193.203.218.130 213.159.224.233 0.000535 0.0007 u 200604250850 193.203.218.130 24.174.69.56 0.000381 0.000581 i 200604250920 193.203.218.130 193.203.218.1 0 0.003178 u 200604250930 193.203.218.130 193.203.218.1 0 0.001053 u 200604250930 193.203.218.130 194.67.23.125 0.003299 0.001167 i 200604250930 193.203.218.130 194.67.57.14 0.003762 0.001171 i 200604251000 193.203.218.130 82.144.192.38 0.002322 0.00129 u 200604251010 193.203.218.130 220.10.141.41 0.000783 0.000893 i 200604251020 193.203.218.130 194.67.23.56 0.002931 0.00108 i 200604251030 193.203.218.130 196.35.68.146 9.6E-05 0 i 200604251040 193.203.218.130 193.203.218.1 0 0.005033 u 200604251140 193.203.218.130 82.193.96.4 0.001627 0.001163 u 200604251200 193.203.218.130 61.223.45.195 0.000194 0.000168 i Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 11:43:13 Author Share Posted 2006-04-25 11:43:13 ещё интересная особенность - весь трафик "левый" на определённый ip. вот он - 85.214.39.206 Конечно было бы круто если бы дали детализацию по портам - но говорят что нету Пересмотрел статистику с внешнего интерфейса шлюза - с таким ip взамодействия небыло. Как доказать что это не мой трафик? 500+ баксов на дороге не валяются. Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 11:54:31 Author Share Posted 2006-04-25 11:54:31 вот ещё интересное замечание: 200604180900 85.214.39.206 184.249096 2.687264 i200604180910 194.67.45.188 0.031199 0.001589 i 200604180910 84.62.132.43 0.045823 0.221828 i 200604180910 85.214.39.206 228.004282 3.33492 i 200604180920 62.233.242.5 9.2E-05 9.2E-05 i 200604180920 84.62.132.43 0.008879 0.030873 i 200604180920 85.214.39.206 178.39144 2.632116 i Это фрагмент лога за 18 число с 9 часов утра до 9 часов и 20 минут. активность со зловещим адрессом 85.214.39.206 была и в течении 20 минут было принято с него общей сложностью: 590,644818 Мбайт Скорость обычно на забугор - 160-220Кбайт в сек. Даже если принять что скорость была максимальной и даже пусть 250 Кбайт в сек, то 590 Мбайт НЕВОЗМОЖНО принять за 20 минут З.ы. Для полноты хочу сказать что забугор у данного прова практически не юзаю т.к. есть более скоростной канал и дешевле намного. Может отсюда ноги растут? Вот проверил скорость: [root@gw0 04]# wget http://download.microsoft.com/download/4/a...90830-V1.15.exe --15:00:12-- http://download.microsoft.com/download/4/a...90830-V1.15.exe => `Windows-KB890830-V1.15.exe' Resolving download.microsoft.com... 208.175.160.126, 208.174.60.30 Connecting to download.microsoft.com|208.175.160.126|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 1,813,920 (1.7M) [application/octet-stream] 100%[==================================================================================================================>] 1,813,920 176.87K/s ETA 00:00 15:00:19 (235.85 KB/s) - `Windows-KB890830-V1.15.exe' saved [1813920/1813920] [root@gw0 04]# wget http://download.microsoft.com/download/4/5...812-x86-ENU.exe --15:03:26-- http://download.microsoft.com/download/4/5...812-x86-ENU.exe => `WindowsXP-KB912812-x86-ENU.exe' Resolving download.microsoft.com... 213.254.234.30, 213.249.102.94, 212.73.245.62 Connecting to download.microsoft.com|213.254.234.30|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 5,027,568 (4.8M) [application/octet-stream] 100%[==================================================================================================================>] 5,027,568 227.35K/s ETA 00:00 15:03:45 (253.12 KB/s) - `WindowsXP-KB912812-x86-ENU.exe' saved [5027568/5027568] Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-25 12:06:54 Author Share Posted 2006-04-25 12:06:54 Хочу добавить что в принципе по качеству (последние 2-3) месяца данный пров вполне устраивает. Обещаную скорость (на укр) держат стабильно, предупреждают о перебоях. Но вот последие события расстроили совсем. Link to post Share on other sites
Sanito 129 Posted 2006-04-25 12:09:46 Share Posted 2006-04-25 12:09:46 Даже если принять что скорость была максимальной и даже пусть 250 Кбайт в сек, то 590 Мбайт НЕВОЗМОЖНО принять за 20 минут Возможно, если у них шейпер стоит. В этом случае вход ими же считается на максимальной скорости (т.к. он и приходит на максимальной), а к тебе отдается на твоей скорости, ~2 мегабита как я понимаю. Link to post Share on other sites
Zlobar 30 Posted 2006-04-25 12:44:29 Share Posted 2006-04-25 12:44:29 Это просто зоопарк непуганых идиотов какой-то... Понравилась фраза, добавлю в свой лексикон Link to post Share on other sites
egor2fsys 5 Posted 2006-04-25 14:09:22 Share Posted 2006-04-25 14:09:22 ну вот предоставляй граф скорости и пусть объяснят как за такое время могло накачаться такая инфа. ибо мог и билл у них заглчить. З. Ы. стг иногда, правда достаточно реджко пишет "смешные" цифры в лог. типа клинт куда то зашел, а он ему поставил 500 метров за 10 минут. так что не только СТГ глючит Link to post Share on other sites
nn 7 Posted 2006-04-25 14:27:05 Share Posted 2006-04-25 14:27:05 Господа, ваша дискусия пошла не в то русло. Начинайте читать договор с провайдером. А там обычно написанно, что трафик считается биллингом провайдера. Значит, если в биллинге 1 корова, то платить надо за одну корову, чтобы не нарушать отчетности. Доказывать, что это не твой трафик не надо, пусть они доказывают, что он твой. Link to post Share on other sites
XoRe 0 Posted 2006-04-25 20:58:29 Share Posted 2006-04-25 20:58:29 2nn: Согласен. Если у них есть логи биллинга. то почему этот биллинг посчитал эти 56 гигов, как украину? Кстати о пароле. Даже если пароль стоит "1", то это уже пароль. И подбор его считается взломом. Link to post Share on other sites
free7 0 Posted 2006-04-26 07:51:33 Share Posted 2006-04-26 07:51:33 ещё интересная особенность - весь трафик "левый" на определённый ip. вот он - 85.214.39.206 а если попробовать отписать владельцу этого IP и попытаться у него выяснить, что это был за незапрошеный трафик ? Link to post Share on other sites
OS' 0 Posted 2006-04-26 08:38:15 Share Posted 2006-04-26 08:38:15 держи карман шире! ты бы ответил, если бы тебя спросили - мил человек как вы умудрились скачать 590Мб за 20 минут? Link to post Share on other sites
Zlobar 30 Posted 2006-04-26 08:43:35 Share Posted 2006-04-26 08:43:35 Провайдер приглашает абонента в офис. Рассказывает что из-за недочетов провайдера внешняя сетка ip зароученая на абонента не тарифицировалась. Предлагает оплатить 56ГБ зарубежного трафика. Эти 56 гиг за текущий месяц, или и за предыдущие когда провайдер "провтыкал" ? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-26 10:46:46 Author Share Posted 2006-04-26 10:46:46 Эти 56 гиг за текущий месяц, или и за предыдущие когда провайдер "провтыкал" ? За текущий..... Кстати вот уже первые плоды.... Вчерашние логи разбирали - нашли 2Гб украины (трафик на колокол) которые были тарифицированы разными порциями в течении дня как забугор. Это конечно же не означает что все другие дни была похожая ситуация, но согласитесь - даёт повод очень кропотливо перебрать ВСЕ логи. На данный момент до выяснения и пересмотра всех логов была достигнута договоренность не отключать абонента, за что собственно спасибо. з.ы. о ходе действия буду уведомлять тут. Link to post Share on other sites
XoRe 0 Posted 2006-04-26 12:27:37 Share Posted 2006-04-26 12:27:37 Если хочешь, чтоб народ лучше въезжал в ситуацию, скажи, на каком основании они разделяют трафик на укр и мир? Фиксированный список адресов, bgp ли ещё как. И что там с роученной забугорной сеткой? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-26 12:38:00 Author Share Posted 2006-04-26 12:38:00 Если хочешь, чтоб народ лучше въезжал в ситуацию, скажи, на каком основании они разделяют трафик на укр и мир?Фиксированный список адресов, bgp ли ещё как. И что там с роученной забугорной сеткой? Да тут все просто. Счтают как и я по списку сетей с ix.net.ua У меня есть основной ip к примеру 123.123.213.123. На него зароучена сетка 123.123.213.128/255.255.255.192 (мои внешние IP которые я даю клиентам) вроде понятно.... Link to post Share on other sites
Amal 0 Posted 2006-04-26 15:10:07 Share Posted 2006-04-26 15:10:07 Честно говоря, я не знаю какие отношения с провом, но расскажу случай, который был со мной. Пров У (игрек) По вине УТК пропал инет (ADSL у меня), т.к. УТК перекладывали кабеля на АТС, за что им спасибо. На 5 минут пропал инет и телефон. после этого всё включилось. Я в инет, а скорость как-то необычно маленькая... я смотрю а там 64/64 вместо 512. у меня шок. а дело было уже под вечер. Я звоню в сервис (благо круглосуточный) говорю, ребята, такая вот лажа... после пол-минутной паузы (видно они там тоже офигели) говорят, Вас не в тот порт на АТс втыкнули. Я интересуюсь что будем делать, ибо мне это не очень нравиться. Они говорят, что просто поднимут на порту скорость и всё. В ответ я спросил: А человек, у которого было 64 получит 512??? Ответ был: Да, но это наши проблемы, извините за неудобства! Вот это к тому что в любой ситуации есть выход и надо здраво понимать кто прав, а кто нет. Если у прова слетел биллинг (вспомните как полтора года назад лёг центральный коммутатор UMC и какие за это были компенсации абонентам) и не посчитал траф, то это его проблемы. И в таком случае цифра 56 или 65 или 2225 не берёться с потолка, а высчитываеться путём использования статистических данных, т.е. прогнозирование, т.е. грубо сумма всех предыдущих месяцев деиться на их количество и вот примерный траф за месяц. Грубо, но так честнее. А вообще, я бы на месте прова позвонил и спросил есть ли статистика у юзера. и всё. попросил бы статистику ( сравнил бы если есть бекап), и сразу стало бы понятно кто жмот. Клиентов надо ценить! Клиент всегда прав! Ден, не поддавайся на провокации! Всё будет ок! Кстати, если провайдер "провтыкал" доступ к своей базе, и стали известны конфиденциальные данные клиентов, то клиенты могут подать в суд. За разглашение. Провайдер должен обеспечить надёжное хранение этих данных. Link to post Share on other sites
hoan_gonsales 0 Posted 2006-04-26 16:36:53 Share Posted 2006-04-26 16:36:53 Ай, любимымые дупли!!! У них маршрутизация на колокол падает то и дело. Хотя у меня уже вроде как прекратилось и в этом месяце таких траблов не наблюдалось. Сам на доблестном В-нете сижу уже почти два года. Но завтра я с него спрыгиваю. Как я рад - представить себе не можете. Реально, на UA-IX действует 3 различных канала (один дуплевский) и за месяц через мир все равно проходит до 150 гигов!!!!!!! украины. Вот такой прикольный пров. А откуда ноги у обсуждаемого в этом посте прова растут всем известно. Вот и выводы. Когда по их вине у меня люди влетали на мир - приходилось пересчитывать трафик. Клиент в этом случае не виноват. Были, конечно, после этого нюансы с оборзевшими юзверями, что думали что я вообще все спишу (в т.ч. и честно скачанный мир перекину на украину), но это уже другая история. Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-04-26 18:25:43 Author Share Posted 2006-04-26 18:25:43 Ну что вам сказать. перебрать логи детальной статистики за месяц это не быстро.... особенно если её не хотят предоставить в удобочитаемом виде а не одной кучей текста в 12 млн записей. Попросил что бы разложили в отдельное файло по ссуткам и по ip у меня там трафик спорный реально на 9 Ip т.е. 9*26=234 файлика. Сказали что так не будет. Ладно.... я лезть не буду.... Главное что бы 8 числа не отключили Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now