CenterTelecom Voronezh ISP
Технический форум
Web: http://isp.vsi.ru/; E-Mail: support@vsi.ru; Phone: 050


 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация   ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Внешний трафик при пакетном фильтре
На страницу 1, 2, 3  След.
 
Начать новую тему   Ответить на тему    Список форумов CenterTelecom Voronezh ISP -> Жалобы и предложения
Предыдущая тема :: Следующая тема  
Автор Сообщение
_VB_



СообщениеДобавлено: 25-11-06 14:08    Заголовок сообщения: Внешний трафик при пакетном фильтре Ответить с цитатой

Откуда может появиться левый трафик при пакетном фильтре:

permit ip 80.82.32.22 none any none
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit ip 80.82.32.0/0.0.31.255 none any none
permit ip 88.83.192.0/0.0.31.255 none any none
deny tcp 64.12.0.0/0.0.255.255 eq 5190 any none established
deny tcp 205.188.0.0/0.0.255.255 eq 5190 any none established
permit tcp 84.17.243.19 none any none
deny ip 84.17.243.19 none any none
deny ip any none any none

Насколько я понимаю такой пакетник должен закрыть всё, кроме локалки. И, тем не менее, несколько дней мне течёт какой-то мелкий левый трафик. Например статистика за вчера:

Трафик из Интернет 24.11.2006:12:42:39 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:16:04:05 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:17:41:11 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:18:53:51 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:20:46:40 0.0.0.0 0.0.0.0 1 400
Трафик из Интернет 24.11.2006:22:02:21 0.0.0.0 0.0.0.0 1 400

Мелочь, конечно, но неприятно. А вдруг в другой раз будет больше.
[/img]
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 25-11-06 15:03    Заголовок сообщения: Ответить с цитатой

Запустите параллельно какой-нибудь Ethereal или какой-нибудь другой traffic dumper по вкусу с фильтрами, настроенными на перехват только внешнего трафика, и посмотрите, что это за трафик. Может быть, при переподключении какой-нибудь пакет успевает проскочить.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
_VB_



СообщениеДобавлено: 25-11-06 15:47    Заголовок сообщения: Ответить с цитатой

То есть фильтр не гарантирует полностью отсутствие внешнего трафика и в момент переподключения его появление возможно?

У меня файрволл стоит - он спрашивает при каждом подключении разрешить или запретить, но там вроде только локальные адреса.
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 25-11-06 17:35    Заголовок сообщения: Ответить с цитатой

Смотря в какой момент он привязывается к интерфейсу и отвязывается от него на железке. Возможно, там есть какая-то небольшая разница во времени между созданием интерфейса и навешиванием на него фильтра. Вообще на этот вопрос смогут ответить только разработчики Cisco IOS smile
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
_VB_



СообщениеДобавлено: 25-11-06 20:56    Заголовок сообщения: Ответить с цитатой

Внимательнее отследил момент включения модема.
Появляется следующий запрос в файрволле (у меня Kerio):
Цитата:
Входящее соединение.
Приложение: system
Адрес: All [0.0.0.0]

Больше вроде ничего подозрительного.
Это может быть оно?
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 27-11-06 02:25    Заголовок сообщения: Ответить с цитатой

Вряд ли. Этот 0.0.0.0 - это по-моему какая-то ерунда.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
cardinal



СообщениеДобавлено: 27-11-06 09:00    Заголовок сообщения: Ответить с цитатой

Афаик не совсем. 0.0.0.0 это как 127.0.0.1, но там есть какоето отличие которое я сейчас чесгря и сам не помню......... smile
Вот смотри например у меня, софт для управления дисташкой: винлирк прослушивает датчик висящий на компорту на 0.0.0.0 и передаёт то что принимает в girder,а гирдер это принимает и передаёт уже в 127.0.0.1,и через него управляю громкостью,эмулирую нажатие клавиш итд....... Тоесть всё как бы то же самое но в то же время небольшое отличие есть........... smile

Сообщения: 854
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 27-11-06 11:58    Заголовок сообщения: Ответить с цитатой

Кстати говоря!
А ведь у меня тоже начал таким образом "утекать" трафф!

http://www.torrents.vsi.ru/files/beda_121.jpg

И не только у меня, посмотри[urlhttp://www.torrents.vsi.ru/viewtopic.php?p=272571#272571] вот этот[/url] топик! Вот например за вчерашний день у меня таким образом утекло чуть больше чем 2 мегабайта,для меня это очень много так как у меня траффик идёт через спутник,и по земле при самом активном использовании в день набегало несколько килобайт. 2 мегабайта в день с каждого кастомера,сейчас на торренте зарегистрировано 3400 кастомеров...... Ктото кладёт себе в карман в день 7000 рублей? Может уже пора начать беспокоится?
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 27-11-06 11:59    Заголовок сообщения: Ответить с цитатой

Нажал не ту кнопочку oops

Сообщения: 854
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 27-11-06 12:36    Заголовок сообщения: Ответить с цитатой

Вынужден извинится,сорри я косоглаз oops
Там у меня не 2 мегабайта, а намного меньше.
Но вообще конечно хотелось бы чтобы руководство ВСИ внимательнее подошло к решению этой проблемы.....
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
meddle



СообщениеДобавлено: 27-11-06 13:28    Заголовок сообщения: Ответить с цитатой

cardinal писал(а):
Ктото кладёт себе в карман в день 7000 рублей? Может уже пора начать беспокоится?

Очень сильно сомневаюсь в возможности эти 7000 обналичить... boss
Сообщения: 205
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Konstantin V. Kuznetsov



СообщениеДобавлено: 27-11-06 13:37    Заголовок сообщения: Ответить с цитатой

Судя по всему это вирусня.

Немного "расширю" комментарий Олега ( http://isp.vsi.ru/forum/viewtopic.php?p=6145#6145 ): в тот небольшой промежуток "сходимости", который описан выше успевает прийти небольшой траффик извне.

Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами.
Сообщения: 470
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 27-11-06 15:43    Заголовок сообщения: Ответить с цитатой

Konstantin V. Kuznetsov писал(а):
Судя по всему это вирусня.

Немного "расширю" комментарий Олега ( http://isp.vsi.ru/forum/viewtopic.php?p=6145#6145 ): в тот небольшой промежуток "сходимости", который описан выше успевает прийти небольшой траффик извне.

Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами.


Изначально предполагалось что победить пакетный фильтр невозможно boss да и потом - раньше ведь этого не было.........
И давай уточним,если я правильно понял окончательное предположение - это происходит в момент подключения? Тоесть если я сейчас запишу время входа в сеть и время отключения скажем через час а завтра посмотрю статистику - в промежутке не должно быть левого траффика?
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 27-11-06 15:50    Заголовок сообщения: Ответить с цитатой

meddle писал(а):

Очень сильно сомневаюсь в возможности эти 7000 обналичить... boss

Ды кто его знает! boss
Если смотрел фильм "Хаос" там чувак написал виря который снимал с каждого акка случайную сумму в несколько долларов, и в результате вывел из банка за один день 5 лямов.Есть же известные подобные схемы,например "красная оптимизация" - распростаняется вирь,который кликает с юзерских машин по рефу PPC. По центу с клика,каждый день по 10000 кликов - 3k в месяц. Возможно мы имеем дело с новой схемой! boss
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 27-11-06 15:51    Заголовок сообщения: Ответить с цитатой

cardinal писал(а):

Изначально предполагалось что победить пакетный фильтр невозможно boss


Когда он включен - да. Но если он включается чуть-чуть позже, чем поднимается PPP и теоретически может начать ходить трафик, то пара пакетов может проскочить.

cardinal писал(а):

да и потом - раньше ведь этого не было.........
И давай уточним,если я правильно понял окончательное предположение - это происходит в момент подключения? Тоесть если я сейчас запишу время входа в сеть и время отключения скажем через час а завтра посмотрю статистику - в промежутке не должно быть левого траффика?


По идее -да, если модем не настроен отключать PPP при отсутствии трафика, а при появлении поднимать его обратно. А еще лучше было бы, если бы кто-нибудь посмотрел эти входящие к нему пакеты более нормальным способом, чем файрволом, который показывает входящие пакеты с адреса "0.0.0.0, который почти то же самое, что и 127.0.0.1, но отличается неизвестно чем" smile Желательно все же смотреть чем-то более нормальным, типа Ethereal'а, заодно и точную корреляцию между переподключениями и появлением трафика можно будет уловить.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
cardinal



СообщениеДобавлено: 27-11-06 16:15    Заголовок сообщения: Ответить с цитатой

У меня тут фильм качается..... Через часик докачается,очищу логи фаерволла,сделаю пару - тройку подключений и можно будет поизучать явление!....... smile
А насчёт отличия 0.0.0.0 и 127.0.0.1 точно помню что гдето читал мол это оговорено в каких случаях употребляется 0.0.0.0 и в каких 127.0.0.1. Подробнее не помню....... звиняй уж! smile
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
_VB_



СообщениеДобавлено: 27-11-06 17:14    Заголовок сообщения: Ответить с цитатой

Блин, оказалось, что далеко не у меня одного такая фигня.
Не может же у всех быть троян.
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 27-11-06 17:17    Заголовок сообщения: Ответить с цитатой

_VB_ писал(а):

Блин, оказалось, что далеко не у меня одного такая фигня.
Не может же у всех быть троян.


Да это не троян. Точнее, может быть, и троян, но не у вас.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
cardinal



СообщениеДобавлено: 28-11-06 15:29    Заголовок сообщения: Ответить с цитатой

Сегодня цифры уже в два раза больше...............
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 28-11-06 16:48    Заголовок сообщения: Ответить с цитатой

Konstantin V. Kuznetsov писал(а):

Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами.

Кстати подумалось - тоесть если это так и вот я возьму и отключу пакетник то по идее я должен увидеть источники этих пакетов в логах своего фаерволла?
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
Konstantin V. Kuznetsov



СообщениеДобавлено: 28-11-06 17:05    Заголовок сообщения: Ответить с цитатой

cardinal писал(а):
Konstantin V. Kuznetsov писал(а):

Идет он с достаточно большого кол-ва адресов (которые принадлежат разным компаниям-провайдерам) равными небольшими пакетами.

Кстати подумалось - тоесть если это так и вот я возьму и отключу пакетник то по идее я должен увидеть источники этих пакетов в логах своего фаерволла?
Если у тебя модем настроен как Bridge, то да - увидишь.
Если как роутер, то можешь и не увидеть.
Сообщения: 470
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 28-11-06 17:18    Заголовок сообщения: Ответить с цитатой

Как bridge.........
Но чтот учитавая тут написанное стрёмно мне както такие опыты делать....... притом что статистика идёт с опозданием на сутки! Боюсь завтра как туда загляну и меня Кондратий обнимет! smile
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 28-11-06 17:51    Заголовок сообщения: Ответить с цитатой

Вообще конечно интересно было бы почитать отзывы о ситуации со статистикой от людей не ользующихся пакетным фильтром boss
Если рассматриваемая теория верна то с 14 по сегодняшний день у них там должны быть огромные цыфры!........... boss
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
Spoofing



СообщениеДобавлено: 28-11-06 21:14    Заголовок сообщения: Ответить с цитатой

Пакетного фильтра нет.
Просмотрел статистику с 14 и до сегодняшнего дня. Подобного мелкого трафа не замечено. Да и общая сумма за день в пределах обычного среднего значения в 5мб
Сообщения: 17
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 01-12-06 16:03    Заголовок сообщения: Ответить с цитатой

Итак,подводя первые итоги, можно уже с уверенностью говорить о том, что озвученное здесь предположение было неверным.Во первых,если за какуюто долю секунды проходит 1400 байт то значит за более продолжительное время должно было быть много бальше,а этого нет .Во вторых,время появления в статистике "лишнего" траффика не совпадает со временем подключения к сети. В третьих каждый день в статистке появляются одни и те же цифры "лишнего" траффика,которые не меняются для одного кастомера в течение одного дня по времени сервера статистики ВСИ.
Имхо налицо какаято неполадка в биллинговой системе и это на мой взгляд можно утверждать уже совершенно определённо.При этом кастомеры вынуждены оплачивать её из своего кармана......
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов CenterTelecom Voronezh ISP -> Жалобы и предложения Часовой пояс: GMT + 4
На страницу 1, 2, 3  След.
Страница 1 из 3

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах