Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
_VB_
|
Добавлено: 25-11-06 14:08 Заголовок сообщения: Внешний трафик при пакетном фильтре |
|
|
Откуда может появиться левый трафик при пакетном фильтре:
permit ip 80.82.32.22 none any none
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit ip 80.82.32.0/0.0.31.255 none any none
permit ip 88.83.192.0/0.0.31.255 none any none
deny tcp 64.12.0.0/0.0.255.255 eq 5190 any none established
deny tcp 205.188.0.0/0.0.255.255 eq 5190 any none established
permit tcp 84.17.243.19 none any none
deny ip 84.17.243.19 none any none
deny ip any none any none
Насколько я понимаю такой пакетник должен закрыть всё, кроме локалки. И, тем не менее, несколько дней мне течёт какой-то мелкий левый трафик. Например статистика за вчера:
Трафик из Интернет 24.11.2006:12:42:39 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:16:04:05 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:17:41:11 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:18:53:51 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:20:46:40 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:22:02:21 0.0.0.0 0.0.0.0 1 400
Мелочь, конечно, но неприятно. А вдруг в другой раз будет больше.
[/img] |
|
Сообщения: 5
|
|
|
Oleg
|
Добавлено: 25-11-06 15:03 Заголовок сообщения: |
|
|
Запустите параллельно какой-нибудь Ethereal или какой-нибудь другой traffic dumper по вкусу с фильтрами, настроенными на перехват только внешнего трафика, и посмотрите, что это за трафик. Может быть, при переподключении какой-нибудь пакет успевает проскочить. |
|
Сообщения: 1329
|
|
|
_VB_
|
Добавлено: 25-11-06 15:47 Заголовок сообщения: |
|
|
То есть фильтр не гарантирует полностью отсутствие внешнего трафика и в момент переподключения его появление возможно?
У меня файрволл стоит - он спрашивает при каждом подключении разрешить или запретить, но там вроде только локальные адреса. |
|
Сообщения: 5
|
|
|
Oleg
|
Добавлено: 25-11-06 17:35 Заголовок сообщения: |
|
|
Смотря в какой момент он привязывается к интерфейсу и отвязывается от него на железке. Возможно, там есть какая-то небольшая разница во времени между созданием интерфейса и навешиванием на него фильтра. Вообще на этот вопрос смогут ответить только разработчики Cisco IOS |
|
Сообщения: 1329
|
|
|
_VB_
|
Добавлено: 25-11-06 20:56 Заголовок сообщения: |
|
|
Внимательнее отследил момент включения модема.
Появляется следующий запрос в файрволле (у меня Kerio):
Цитата: | Входящее соединение.
Приложение: system
Адрес: All [0.0.0.0] |
Больше вроде ничего подозрительного.
Это может быть оно? |
|
Сообщения: 5
|
|
|
Oleg
|
Добавлено: 27-11-06 02:25 Заголовок сообщения: |
|
|
Вряд ли. Этот 0.0.0.0 - это по-моему какая-то ерунда. |
|
Сообщения: 1329
|
|
|
cardinal
|
Добавлено: 27-11-06 09:00 Заголовок сообщения: |
|
|
Афаик не совсем. 0.0.0.0 это как 127.0.0.1, но там есть какоето отличие которое я сейчас чесгря и сам не помню.........
Вот смотри например у меня, софт для управления дисташкой: винлирк прослушивает датчик висящий на компорту на 0.0.0.0 и передаёт то что принимает в girder,а гирдер это принимает и передаёт уже в 127.0.0.1,и через него управляю громкостью,эмулирую нажатие клавиш итд....... Тоесть всё как бы то же самое но в то же время небольшое отличие есть...........
|
|
Сообщения: 854
|
|
|
cardinal
|
Добавлено: 27-11-06 11:58 Заголовок сообщения: |
|
|
Кстати говоря!
А ведь у меня тоже начал таким образом "утекать" трафф!
http://www.torrents.vsi.ru/files/beda_121.jpg
И не только у меня, посмотри[urlhttp://www.torrents.vsi.ru/viewtopic.php?p=272571#272571] вот этот[/url] топик! Вот например за вчерашний день у меня таким образом утекло чуть больше чем 2 мегабайта,для меня это очень много так как у меня траффик идёт через спутник,и по земле при самом активном использовании в день набегало несколько килобайт. 2 мегабайта в день с каждого кастомера,сейчас на торренте зарегистрировано 3400 кастомеров...... Ктото кладёт себе в карман в день 7000 рублей? Может уже пора начать беспокоится? |
|
Сообщения: 854
|
|
|
cardinal
|
Добавлено: 27-11-06 11:59 Заголовок сообщения: |
|
|
Нажал не ту кнопочку
|
|
Сообщения: 854
|
|
|
cardinal
|
Добавлено: 27-11-06 12:36 Заголовок сообщения: |
|
|
Вынужден извинится,сорри я косоглаз
Там у меня не 2 мегабайта, а намного меньше.
Но вообще конечно хотелось бы чтобы руководство ВСИ внимательнее подошло к решению этой проблемы..... |
|
Сообщения: 854
|
|
|
meddle
|
Добавлено: 27-11-06 13:28 Заголовок сообщения: |
|
|
cardinal писал(а): | Ктото кладёт себе в карман в день 7000 рублей? Может уже пора начать беспокоится? |
Очень сильно сомневаюсь в возможности эти 7000 обналичить... |
|
Сообщения: 205
|
|
|
Konstantin V. Kuznetsov
|
Добавлено: 27-11-06 13:37 Заголовок сообщения: |
|
|
Судя по всему это вирусня.
Немного "расширю" комментарий Олега ( http://isp.vsi.ru/forum/viewtopic.php?p=6145#6145 ): в тот небольшой промежуток "сходимости", который описан выше успевает прийти небольшой траффик извне.
Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами. |
|
Сообщения: 470
|
|
|
cardinal
|
Добавлено: 27-11-06 15:43 Заголовок сообщения: |
|
|
Konstantin V. Kuznetsov писал(а): | Судя по всему это вирусня.
Немного "расширю" комментарий Олега ( http://isp.vsi.ru/forum/viewtopic.php?p=6145#6145 ): в тот небольшой промежуток "сходимости", который описан выше успевает прийти небольшой траффик извне.
Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами. |
Изначально предполагалось что победить пакетный фильтр невозможно да и потом - раньше ведь этого не было.........
И давай уточним,если я правильно понял окончательное предположение - это происходит в момент подключения? Тоесть если я сейчас запишу время входа в сеть и время отключения скажем через час а завтра посмотрю статистику - в промежутке не должно быть левого траффика? |
|
Сообщения: 854
|
|
|
cardinal
|
Добавлено: 27-11-06 15:50 Заголовок сообщения: |
|
|
meddle писал(а): |
Очень сильно сомневаюсь в возможности эти 7000 обналичить... |
Ды кто его знает!
Если смотрел фильм "Хаос" там чувак написал виря который снимал с каждого акка случайную сумму в несколько долларов, и в результате вывел из банка за один день 5 лямов.Есть же известные подобные схемы,например "красная оптимизация" - распростаняется вирь,который кликает с юзерских машин по рефу PPC. По центу с клика,каждый день по 10000 кликов - 3k в месяц. Возможно мы имеем дело с новой схемой! |
|
Сообщения: 854
|
|
|
Oleg
|
Добавлено: 27-11-06 15:51 Заголовок сообщения: |
|
|
cardinal писал(а): |
Изначально предполагалось что победить пакетный фильтр невозможно
|
Когда он включен - да. Но если он включается чуть-чуть позже, чем поднимается PPP и теоретически может начать ходить трафик, то пара пакетов может проскочить.
cardinal писал(а): |
да и потом - раньше ведь этого не было.........
И давай уточним,если я правильно понял окончательное предположение - это происходит в момент подключения? Тоесть если я сейчас запишу время входа в сеть и время отключения скажем через час а завтра посмотрю статистику - в промежутке не должно быть левого траффика?
|
По идее -да, если модем не настроен отключать PPP при отсутствии трафика, а при появлении поднимать его обратно. А еще лучше было бы, если бы кто-нибудь посмотрел эти входящие к нему пакеты более нормальным способом, чем файрволом, который показывает входящие пакеты с адреса "0.0.0.0, который почти то же самое, что и 127.0.0.1, но отличается неизвестно чем" Желательно все же смотреть чем-то более нормальным, типа Ethereal'а, заодно и точную корреляцию между переподключениями и появлением трафика можно будет уловить. |
|
Сообщения: 1329
|
|
|
cardinal
|
Добавлено: 27-11-06 16:15 Заголовок сообщения: |
|
|
У меня тут фильм качается..... Через часик докачается,очищу логи фаерволла,сделаю пару - тройку подключений и можно будет поизучать явление!.......
А насчёт отличия 0.0.0.0 и 127.0.0.1 точно помню что гдето читал мол это оговорено в каких случаях употребляется 0.0.0.0 и в каких 127.0.0.1. Подробнее не помню....... звиняй уж! |
|
Сообщения: 854
|
|
|
_VB_
|
Добавлено: 27-11-06 17:14 Заголовок сообщения: |
|
|
Блин, оказалось, что далеко не у меня одного такая фигня.
Не может же у всех быть троян. |
|
Сообщения: 5
|
|
|
Oleg
|
Добавлено: 27-11-06 17:17 Заголовок сообщения: |
|
|
_VB_ писал(а): |
Блин, оказалось, что далеко не у меня одного такая фигня.
Не может же у всех быть троян.
|
Да это не троян. Точнее, может быть, и троян, но не у вас. |
|
Сообщения: 1329
|
|
|
cardinal
|
Добавлено: 28-11-06 15:29 Заголовок сообщения: |
|
|
Сегодня цифры уже в два раза больше...............
|
|
Сообщения: 854
|
|
|
cardinal
|
Добавлено: 28-11-06 16:48 Заголовок сообщения: |
|
|
Konstantin V. Kuznetsov писал(а): |
Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами. |
Кстати подумалось - тоесть если это так и вот я возьму и отключу пакетник то по идее я должен увидеть источники этих пакетов в логах своего фаерволла? |
|
Сообщения: 854
|
|
|
Konstantin V. Kuznetsov
|
Добавлено: 28-11-06 17:05 Заголовок сообщения: |
|
|
cardinal писал(а): | Konstantin V. Kuznetsov писал(а): |
Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами. |
Кстати подумалось - тоесть если это так и вот я возьму и отключу пакетник то по идее я должен увидеть источники этих пакетов в логах своего фаерволла? | Если у тебя модем настроен как Bridge, то да - увидишь.
Если как роутер, то можешь и не увидеть. |
|
Сообщения: 470
|
|
|
cardinal
|
Добавлено: 28-11-06 17:18 Заголовок сообщения: |
|
|
Как bridge.........
Но чтот учитавая тут написанное стрёмно мне както такие опыты делать....... притом что статистика идёт с опозданием на сутки! Боюсь завтра как туда загляну и меня Кондратий обнимет! |
|
Сообщения: 854
|
|
|
cardinal
|
Добавлено: 28-11-06 17:51 Заголовок сообщения: |
|
|
Вообще конечно интересно было бы почитать отзывы о ситуации со статистикой от людей не ользующихся пакетным фильтром
Если рассматриваемая теория верна то с 14 по сегодняшний день у них там должны быть огромные цыфры!........... |
|
Сообщения: 854
|
|
|
Spoofing
|
Добавлено: 28-11-06 21:14 Заголовок сообщения: |
|
|
Пакетного фильтра нет.
Просмотрел статистику с 14 и до сегодняшнего дня. Подобного мелкого трафа не замечено. Да и общая сумма за день в пределах обычного среднего значения в 5мб |
|
Сообщения: 17
|
|
|
cardinal
|
Добавлено: 01-12-06 16:03 Заголовок сообщения: |
|
|
Итак,подводя первые итоги, можно уже с уверенностью говорить о том, что озвученное здесь предположение было неверным.Во первых,если за какуюто долю секунды проходит 1400 байт то значит за более продолжительное время должно было быть много бальше,а этого нет .Во вторых,время появления в статистике "лишнего" траффика не совпадает со временем подключения к сети. В третьих каждый день в статистке появляются одни и те же цифры "лишнего" траффика,которые не меняются для одного кастомера в течение одного дня по времени сервера статистики ВСИ.
Имхо налицо какаято неполадка в биллинговой системе и это на мой взгляд можно утверждать уже совершенно определённо.При этом кастомеры вынуждены оплачивать её из своего кармана...... |
|
Сообщения: 854
|
|
|
|