Вопрос. такая ситуация: на некую точку пришло очень много траффика. провайдер выставил крупный счёт. сказал что на точку была дос атака (???) точка защищена файрволом. который в рамках своей настройки данный траф пропустить не мог, т.е. он его отфутболивал . провайдер говорит: так как траффик доходил до вас, то нас не волнует футболил или нет и вы за него платите. т.е. по сути дела любой желающий может "поставить на бабки" ? подскажите имеет место такое быть ? была запрошена детализация, в которой толком ничего не пойму.

А что за имя у твоего провайдера. Случаем не "домру" :blush2: . По сути траффик учитывается, если он принят тобой. И еще не понятен момент про DDOS. Это тебе пров сказал или ты ему об этом?

нет, имя прова не такое :) вот я ищу правду в вопросе тарификации трафика. как система считает что он принят мной ? про dos или ddos сказали провы. я хоть и не спец в хакерских заморочках но представление имею о том и о другом , как оно повлияло на траффик не понятно. кроме того по моим подсчётам (на канале 1МБит, за сутки можно слить МАКСИМУМ примерно 10.8 Гб ) нам нарезали аж 22 Гб !!! причём по логам было всего несколько коротких сессий передачи пакетов с этого "атаковавшего IP" от нескольких секунд до нескольких минут !

Если не лень сбрось детализацию, глянем, тока ip атакующего оставь

foxbat,
Все нижесказанное - исключительно имхо, но подозреваю что все-таки я прав ;).
1. Независимо от наличия у вас фаервола и его настроек, трафик адресованный вам до вас доходит. При этом поступает он в вашу сеть или нет (отсекается фаерволом) - не важно, важен сам факт доставки этих данных до вашего оборудования, а он имеет место быть, так как иначе фаерволл просто не сможет их проанализировать.
2. Учет трафика происходит на оборудовании провайдера, а не на вашем оборудовании (имеется в виду цепочка "Глобальная сеть -> Оборудование провайдера -> Ваше оборудование").
В итоге получеаем, что если трафик был адресован вам и ваше оборудование в этот момент работало то трафик подлежит оплате.

Все нижесказанное - исключительно имхо, но подозреваю что все-таки я прав .
1. Независимо от наличия у вас фаервола и его настроек, трафик адресованный вам до вас доходит. При этом поступает он в вашу сеть или нет (отсекается фаерволом) - не важно, важен сам факт доставки этих данных до вашего оборудования, а он имеет место быть, так как иначе фаерволл просто не сможет их проанализировать.
2. Учет трафика происходит на оборудовании провайдера, а не на вашем оборудовании (имеется в виду цепочка "Глобальная сеть -> Оборудование провайдера -> Ваше оборудование").
В итоге получеаем, что если трафик был адресован вам и ваше оборудование в этот момент работало то трафик подлежит оплате »
Это все понятно, но вот как насчитали 22 gb траффа интересно глянуть. Или у foxbat скорости больше чем 1МБит/сек или ISP что-то врет, или атака имела место быть из внутренней сети прова, где скорости больше

Или у foxbat скорости больше чем 1МБит/сек или ISP что-то врет, или атака имела место быть из внутренней сети прова, где скорости больше »
22 Gb за одни сути с мегабитным каналом? Очень интересно....
А что, трафик из внутренней сети прова у вас тоже считается за Интернет-трафик?

Детализацию в студию

защищена файрволом. который в рамках своей настройки данный траф пропустить не мог, »
Не так давно обсуждалась похожая проблема - http://forum.oszone.net/thread-147123.html
TCP-протокол требует установки сессии, посему при наличии файрволла передать можно только маленький пакет "запрос соединения" - всё остальное без подтверждения пересылаться не будет. Самими же "запросами" такое устроить проблематично, потому что подобная нагрузка тут же будет обнаружена и пресечена самим провайдером (его же оборудование не выдержит).
Зато работающий в одном направлении UDP-протокол установки сессии не требует, посему позволяет вести передачу на "закрытый" адрес. Более того, при подключении через "подсеть на статичных IP" передача происходит, даже когда сам компьютер (маршрутизатор) отключен - достаточно, чтобы работал "шлюз" провайдера.

кроме того по моим подсчётам (на канале 1МБит, за сутки можно слить МАКСИМУМ примерно 10.8 Гб ) нам нарезали аж 22 Гб !!! »
Не знаю точно, можно ли по UDP передавать информацию быстрее, чем её принимает получатель - не проверял :)
Но с другой стороны, не знаю, будет ли он реагировать на ответвные сообщения вида "снизьте скорость" :(
Так что ситуацию, когда получаемый по высокоскоростной магистрали сигнал сначала считается оборудованием провайдера, а потом по узкому каналу (с потерями половины пакетов) отправляется абоненту, вполне допускаю.

причём по логам было всего несколько коротких сессий передачи пакетов с этого "атаковавшего IP" от нескольких секунд до нескольких минут ! »
Возможно,*кто-то открывал сайт, который осуществляет трансляцию аудио/видео (что отразилось в логах), и вместо закрия сессии просто закрыл программу?

ИМХО
Если со слов провайдера была произведена DDoS атака, то необходимо вооружившись некими документами, договором об объязанностях, логами, как своими, так и детализацию от провайдера, посмотреть, а что должен был делать провайдер?
Если Он (провайдер) фиксирует DDoS атаку, почему он ей не помешал? Если 22Gb на 1Mb получить физически не возможно (не считал), то этот не хитрый математический расчет тоже не плохо бы предоставить на суд.
Если дело примет юридетический статус (решение проблемы через суд) то необходимо будет скорпулезно изучить договора, т.к. эта бумага официальная. Логи оно конечно да, но ...

как насчитали 22 gb траффа интересно глянуть » согласен. ИМХО надо пинать прова с требованием предоставления расчетов

расшифровка из двух частей:

это первая часть (вырезка) - суммарный по IP, тот который "вредитель" 61.73.59.98:

60.44.183.206 = 96
60.48.34.217 = 96
60.49.112.113 = 96
60.49.234.149 = 100
61.130.248.212 = 382588630
61.17.45.116 = 156
61.189.16.37 = 244
61.217.194.14 = 96
61.73.59.98 = 21560227950
61.8.205.201 = 104
62.120.254.139 = 96
62.146.31.147 = 40
62.165.220.106 = 223542595
62.218.141.206 = 40
64.18.128.86 = 21730

вторая часть:
т.к. очень много записей вырезаю лишь три штуки те в которых фигурировал этот IP и одну другю для сравнения

Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets


0916.00:21:08.562 0916.00:26:35.018 5 61.73.59.98 60173 19 тут_мой_ИП 0 17 0 2380329 102354147
0916.00:26:35.018 0916.00:31:37.378 5 61.73.59.98 60173 19 тут_мой_ИП 0 17 0 16097316 692184588
0916.00:31:37.378 0916.00:36:44.630 5 61.73.59.98 60173 19 тут_мой_ИП 0 17 0 22934942 986202506
0916.00:35:12.666 0916.00:35:15.702 5 77.51.57.125 1980 19 тут_мой_ИП 445 6 2 2 96

Если Он (провайдер) фиксирует DDoS атаку, почему он ей не помешал? »
изучить договор »

+256

Наеедте в ответ на провайдера

насколько я понял они эту атаку "зафиксировали" по логам уже после(разговор о атаке ддос вёл не я)

договор суховат..
2.6 При подсчёте объёма трафика учёту подлежат все IP-пакеты, принятые Исполнителем к отправке на выделенные Заказчику IP-адреса

про вирусы атаки и т.д. ничего не нашёл

видимо придется платить