| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
DJ Alex Danger
|
 Добавлено: 20-01-07 22:50 Заголовок сообщения: Трафик из Интернет за 22.12.2006 |
 |
|
Рад Вас всех поприветствовать. Думаю меня многие знают на torrents.vsi.ru, но никогда не думал, что мне придется обратиться к Вам. Я занимаюсь обслуживанием компьютерной техники на одном предприятии, в свое время их подключил к Домолинку (предприятие частное, телефон оформлен на физ.лицо). И все бы хорошо... НО! Вот что я увидел при следующей проверке их трафика, статистика за 22 декабря 2006 года:
Трафик из Интернет 22.12.2006:21:28:24 0.0.0.0 88.83.219.190 21 417
Трафик из Интернет 22.12.2006:22:27:14 0.0.0.0 88.83.219.190 406 612 143
Трафик из Интернет 22.12.2006:23:23:26 0.0.0.0 88.83.219.190 668 867 809
Трафик из Интернет 22.12.2006:23:28:58 0.0.0.0 88.83.219.190 2 931
Я мог бы все понять, если бы в это время люди работали, но в это время там никого нет. Обычно комп выключают в 6-7 вечера. Модем остается включен. Пароль нелегкий и знаю его только я .Находится там никто не мог, так как дверь была поставлена на контрольку. Вот как мне объяснить начальству, куда делся гиг трафика? То, что фильтра нет - это ясное дело, там только инетом и пользуются. Мне все равно, что там накапало еще около 50 метров, НО ЧТО МНЕ ДЕЛАТЬ С ЭТИМ??
Забыл добавить, точка находится в Бутурлиновке, тарифный план Флай, имя uadsl267
Не отправляйте меня в местное отделение связи, это бесполезно, там нет НИ ОДНОГО человека, кто мог бы мне помочь...
P.S. Дома у меня так же Домолинк и ни одного нарекания к ним нет, начиная с момента подключения (август 2006) |
|
|
Сообщения: 18
|
|
 |
Mikes
|
| Добавлено: 20-01-07 23:41 Заголовок сообщения: |
|
|
ну а на работе у тебя разве нету учёта трафика? какой нить шлюз и всё такое???
разве не ведётся учёт кто куда и зачем в инет ходит? |
|
|
Сообщения: 26
|
|
|
cardinal
|
| Добавлено: 21-01-07 01:07 Заголовок сообщения: |
|
|
А менялся ли IP компа в течение суток? Если да, то теоретически возможен вариант что ктото на этом предприятии слил файл с настройками модема или просто логин/пароль,выключил его,залил этот файл дома в свой комп и покачал чтото за счёт фирмы. Но вот если IP не менялся, то причину следует искать уже гдето на месте. Если ты пишешь что комп был выключен, то закачку обновлений исключаем и остаётся что либо это был глюк статистики, либо уж совсем полуфантастичный вариант - ктото таким образом подставил контору на баблос, отправив откудато с хоста или с ботнета поток каких то данных...... Только для подставы мастшаб имхо маловатый,несерьёзная какаято получилась подстава. Гм......... Чтото правда ничего не сходится......
В местное отделение связи обращатся, наверное, в самом деле, смысла нет,но есть смысл обратится в отдел жалоб ВСИ,гдето тут на сайте написано как это сделать.Ну и посмотреть как я уже сказал менялся ли IP до и после возникновения проблемы....... Больше пока чтото в голову ничего не приходит........ |
|
|
Сообщения: 854
|
|
|
DJ Alex Danger
|
| Добавлено: 21-01-07 09:47 Заголовок сообщения: |
|
|
Mikes на работе в разумных пределах я трафик не учитываю, там много эл. почты идет, поэтому и тариф Флай. Я слежу за другими параметрами, в том числе за посещаемыми сайтами с помощью программы StatWin Да и не в этом дело, комп-то в тот момент все равно выключен был...
Cardinal IPся, это просто я кусок статистики кинул. Могу еще сказать, что человек который на этом клмпе работает даже если бы и узнал пароль - он бы им воспользоваться нигде не мог, т.к. он приехал из Москвы и компа своего здесь у него нет. Самый прикол, вчера звонил начальник и сказал, что если я не узнаю, куда ушел трафик, то деньги вывернуть с этого самого работника, и начальника не волнует, в какое это было время, так что мне край надо бы разобраться, дабы человека не переполовинили в зарплате. Народ из администрации, помогайте! Надежда только на Вас! |
|
|
Сообщения: 18
|
|
|
Mikes
|
| Добавлено: 21-01-07 13:49 Заголовок сообщения: |
|
|
DJ Alex Danger
на будущее .. ставь MS ISA или Kerio WinRoute
и тогда точно будешь знать кто когда и зачем в инет ходил..
и тогда можно сравнивать данные статистики сервера.. и биллинга.
всё же 1 гиг это большое кол-во... за этим обязательно стоит человеческий фактор.... |
|
|
Сообщения: 26
|
|
|
cardinal
|
| Добавлено: 21-01-07 14:34 Заголовок сообщения: |
|
|
Не понял,что значит | DJ Alex Danger писал(а): | | IPся |
Если это означает 'IP менялся' - посмотри время,если смена IP произошла в нерабочее время,то значит на контрольке дверь не стояла и ктото пользовался компом. |
|
|
Сообщения: 854
|
|
|
Viktor_K
|
| Добавлено: 21-01-07 17:10 Заголовок сообщения: |
|
|
| cardinal писал(а): | Не понял,что значит | DJ Alex Danger писал(а): | | IPся |
Если это означает 'IP менялся' - посмотри время,если смена IP произошла в нерабочее время,то значит на контрольке дверь не стояла и ктото пользовался компом. |
Это ничего не значит, если модем сам поднимает pppoe сессию.
И значит всё, если модем в бридже. |
|
|
Сообщения: 153
|
|
|
DJ Alex Danger
|
| Добавлено: 21-01-07 21:55 Заголовок сообщения: |
|
|
| Да, IP менялся. Модем в роутинге. Я могу сказать на 100%, что никого там не было - его бы пропустили. Ребят, ну подскажите, куда мне обратиться? Капец какой-то... |
|
|
Сообщения: 18
|
|
|
DJ Alex Danger
|
| Добавлено: 21-01-07 21:58 Заголовок сообщения: |
|
|
| Точнее не пропустили бы, опечатался. Выручайте, друзья! |
|
|
Сообщения: 18
|
|
|
RexxeR
|
| Добавлено: 21-01-07 23:33 Заголовок сообщения: |
|
|
| Цитата: | | Выручайте, друзья! |
Скидываться что ли? 
ты говоришь | Цитата: | | Обычно комп выключают в 6-7 вечера. |
, потом выяснили что все же компьютер точно был выключен. ладно. читаем дальше | Цитата: | | Модем остается включен. |
. Какой фирмы модем? И зачем при выключенном компьютере оставлять включенным модем? Т.е. если | Цитата: | | Находится там никто не мог, так как дверь была поставлена на контрольку. |
, тогда был взломан сам модем. вариантов больше нет, т.к. | Цитата: | | Пароль нелегкий и знаю его только я |
остается надеятся на добросовестность клиента. К ВСИ думаю в данном случае вопросов нет  . |
|
|
Сообщения: 36
|
|
|
Mikes
|
| Добавлено: 21-01-07 23:52 Заголовок сообщения: |
|
|
DJ Alex Danger
увы и ах.... это горький опыт... зато теперь можно задуматся о нормальном построении выхода в интернет на предпрятии |
|
|
Сообщения: 26
|
|
|
DJ Alex Danger
|
| Добавлено: 21-01-07 23:56 Заголовок сообщения: |
|
|
RexxeR да нет, не скидываться, у человека эту сумму с зарплаты вычтут... Модем типа "халява", боюсь, что если напишу его название неправильно, то это будет матерное слово МТ880.
Просто я иду обратным путем, ни тем, что клиент всегда виноват, а наоборот. Может все-таки был сбой сервака? Или что-то еще? Необязательно сразу платить деньги и сидеть молча, хотелось бы все-таки дойти до истины...
Просьба кого-либо из администрации прокомментировать данный случай. |
|
|
Сообщения: 18
|
|
|
cardinal
|
| Добавлено: 21-01-07 23:57 Заголовок сообщения: |
|
|
RexxeR Ну почему же,у ВСИ есть логи,если выяснится что при этом были входы с разных портов, то можно будет констатировать факт несанкционированного использования регистрационных данных.
А вообще мне чтото тоже в этой ситуации несколько непонятно - какой смысл каждый день оставлять включенный модем при выключенном компьютере?.......... |
|
|
Сообщения: 854
|
|
|
DJ Alex Danger
|
| Добавлено: 22-01-07 00:02 Заголовок сообщения: |
|
|
Cardinal, как бы объяснить... Стоит комп, запитанный на бесперебойник, а глубоко за столом висит на стене модем. UPS выключить - не проблема, а вот подлесть к модему - очень тяжело... Вот такая банальщина...  |
|
|
Сообщения: 18
|
|
|
cardinal
|
| Добавлено: 22-01-07 00:09 Заголовок сообщения: |
|
|
| DJ Alex Danger Покупается сетевой фильтр, скажем на 5 устройств, и щелчком тумблера выключается всё разом. Цена вопроса рублей 100 или даже меньше......... И у меня и у всех моих знакомых так........ Хотя это конечно дело вкуса. |
|
|
Сообщения: 854
|
|
|
RexxeR
|
| Добавлено: 22-01-07 00:11 Заголовок сообщения: |
|
|
| Цитата: | | Может все-таки был сбой сервака? |
На бога надейся, а сам не плошай. Сервак - это машина, даже если и был бы сбой, то тут такая канитель поднялась бы (вспоминаем 8-9 декабря).
Ответь пожалуйста, что может быть еще, кроме атаки взломщиков, сбоя сервака, возможного воровства трафа сотрудником? Ооочень интересно. У меня даже серъезных вариантов нет. | Цитата: | | Необязательно сразу платить деньги и сидеть молча, хотелось бы все-таки дойти до истины... |
уже cardinal говорил, обращайся в отдел жалоб црк. правда скорее твою жалобу там замусолят по страшному. Попроси администрацию просмотреть лог, мне кажется там много интересного. | Цитата: | | у человека эту сумму с зарплаты вычтут... Модем типа "халява" ... МТ880 |
купите лучше на эти деньги нормальный модем. И не экономьте на безопасности. | Цитата: | | UPS выключить - не проблема, а вот подлесть к модему - очень тяжело... |
попробуйте запитать модем тоже от ибп. у меня именно так и запитано. |
|
|
Сообщения: 36
|
|
|
DJ Alex Danger
|
| Добавлено: 22-01-07 00:16 Заголовок сообщения: |
|
|
| Цитата: | | cardinal говорил, обращайся в отдел жалоб црк. правда скорее твою жалобу там замусолят по страшному. Попроси администрацию просмотреть лог, мне кажется там много интересного. |
Как мне с ними связаться? В Воронеж я выехать не смогу, остается только электронка. На какой именно адрес писать? что в письме указать? |
|
|
Сообщения: 18
|
|
|
cardinal
|
| Добавлено: 22-01-07 00:24 Заголовок сообщения: |
|
|
| Приколись - тут на сайте есть фак и там всё написано. Искать его для тебя не буду бо очень сильно вломно.......................................... |
|
|
Сообщения: 854
|
|
|
DJ Alex Danger
|
| Добавлено: 22-01-07 00:32 Заголовок сообщения: |
|
|
| Спасибо и на этом... |
|
|
Сообщения: 18
|
|
|
Нечто
|
| Добавлено: 22-01-07 00:33 Заголовок сообщения: |
|
|
| да охраник порнушку поглядел и всё тут=) |
|
|
Сообщения: 269
|
|
|
Evgeni Sitnikov
Support
|
| Добавлено: 22-01-07 11:54 Заголовок сообщения: Re: Трафик из Интернет за 22.12.2006 |
|
|
| DJ Alex Danger писал(а): | ... НО! Вот что я увидел при следующей проверке их трафика, статистика за 22 декабря 2006 года:
Трафик из Интернет 22.12.2006:21:28:24 0.0.0.0 88.83.219.190 21 417
Трафик из Интернет 22.12.2006:22:27:14 0.0.0.0 88.83.219.190 406 612 143
Трафик из Интернет 22.12.2006:23:23:26 0.0.0.0 88.83.219.190 668 867 809
Трафик из Интернет 22.12.2006:23:28:58 0.0.0.0 88.83.219.190 2 931
Я мог бы все понять, если бы в это время люди работали, но в это время там никого нет. Обычно комп выключают в 6-7 вечера. Модем остается включен. Пароль нелегкий и знаю его только я .Находится там никто не мог, так как дверь была поставлена на контрольку. ... |
Кто-то наверное прорвался:
"22.12.2006:22:30:00" - "22.12.2006:23:00:01" 213.248.59.110 -> 88.83.219.190 1026298735
"22.12.2006:23:00:01" - "22.12.2006:23:30:01" 84.252.142.70 -> 88.83.219.190 1073540
и возможно до музыки дорвался:
Name: mp3.ua
Address: 213.248.59.110 |
|
|
Сообщения: 109
|
|
|
Viktor_K
|
| Добавлено: 22-01-07 12:01 Заголовок сообщения: |
|
|
Вот, модем в роутинге, значит сессию поднимает сам, без участия человека.
Выходит, что могли udp флудом накрутить, или пингом банальным большими пакетами. Хотя гектар напинговать не так просто. |
|
|
Сообщения: 153
|
|
|
RexxeR
|
| Добавлено: 22-01-07 15:23 Заголовок сообщения: |
|
|
| Цитата: | | "22.12.2006:23:00:01" - "22.12.2006:23:30:01" 84.252.142.70 -> 88.83.219.190 1073540 |
servers.truerecords.biz [84.252.142.70] |
|
|
Сообщения: 36
|
|
|
Mikes
|
| Добавлено: 22-01-07 20:58 Заголовок сообщения: |
|
|
вобщем всё указывает на то что народ музыку качал...
ещё раз советую.. надо НОРМАЛЬНО реализовать доступ в интернет на фирме.. и тогда такого не будет |
|
|
Сообщения: 26
|
|
|
DJ Alex Danger
|
| Добавлено: 22-01-07 23:08 Заголовок сообщения: |
|
|
Чтож, как говорится, пока гром не грянет... Сношу пароли и ставлю новые, завтра сажаю все на фильтр...
Вместо постскриптума:
Oleg Derevenetz [oleg@vsi.ru]
Как видите, основной объем трафика был скачан с IP 213.248.59.110 (почти 1Gb), этот IP принадлежит российскому хостеру, у которого хостится много различных сайтов:
213.248.32.0 - 213.248.63.255
Hosting and Colocation Services
Digital Network Hosting Department
13a, Yaroslavskaya st.,
Moscow, Russia, 129366
+7 495 723 8333
+7 495 723 8332
По-видимому, компьютер у вас был в это время все-таки включен, и на нем либо работала закачка, либо за ним кто-то все-таки работал (возможно, удаленно).
Спасибо всем, кто откликнулся, проблему я все-таки не решил, но хотя бы помощь и поддержка была. Еще раз ВСЕМ СПАСИБО! |
|
|
Сообщения: 18
|
|
|
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
|
|
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
