Уважаемые специалисты, у меня вот такой вопрос:
Из-за чего и/или почему может быть такой огромный (более 1 Гига) трафик с DNS-сервера провайдера за один день? И, как Вы считаете, должна ли наша компания оплачивать этот трафик?

Немного дополнения к вопросу:
фаервол стоит - Lan2net;
антивирь - Nod32, базы обновляются ежедневно;
траф такой был только один день, со шлюза, на котором никто в этот день не работал;
на следующий день прогнал Ad-Aware SE, AVZ4 - ничего не выявил;
проверился Pand-ой в онлайне.

Звонил провайдеру, говорят, что б писали притензию на имя генерального - будут рассматривать. ИТ специалисты провайдера говорят, что это вирус на нашем компе, но у нас-то был входящий, а у них исходящий трафик.

Вообщем жду Ваших соображений по этому поводу...

Действительно очень похоже на работу червя, либо попытку DOS-атаки... Если вспомнишь чем является DNS, то думаю и сам поймешь, окуда мог взятся входящий трафик... - в ответ на DNS-запросы с твоего шлюза... Хотя при этом и исходящий к DNS д/б примерно того же порядка (меньше, но не во много раз). Еще мог быть глюк (в т. ч. и специально вызванный) с DNS-клиентом на шлюзе, когда резолв на запрос не воспринимается и DNS пытается его отправлять несколько раз, в этом случае трафик резолвов может быть на несколько порядков больше, чем запросов. Без анализа журналов сетевого трафика точно уже не скажешь. провайдер может анализировать свои, но ему в падлу корячется, поэтому и требуют письмо. ты можешь сам анализировать свои..., если они конечно ведйтся. У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?

У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?
Lan2net и логи ведет, и траф весь считает и т.п.. А в логах было видно (почему "было"? - потому что речь идет о месячной давности) размеры полученных и передаваемых данных, время и IP назначения. Сопоставив размер предпологаемого полученного файла (поиском выявлял) это, как ни странно, оказался лог-файл Lan2net - "connection.log", который передавался в течение дня несколько раз. Смысл этого для меня вообще не понятен.
Вопрос все-таки следующий остается - как убедить провайдера, что мы не причастны к этому трафику и тем самым платить за него не имеем желания. Можно ли это как-то доказать?

размеры полученных и передаваемых данных, время и IP назначения.
А порты и IP отправителя? Без портов не определишся в чем суть...

Сопоставив размер предпологаемого полученного файла (поиском выявлял) это, как ни странно, оказался лог-файл Lan2net - "connection.log", который передавался в течение дня несколько раз. Смысл этого для меня вообще не понятен.Ты перепутал причину и следствие. Журнал сохраняет инфу о соединениях, соответственно он увеличивается пропорционально соединениям. Т. ч. никуда он не передавался. А вот тип соединений, порождавших трафик, можно было бы узнать как раз из самого лога..., если там есть нужные данные конечно...

На сей момент лог именно того трафика не сохранился в связи с переустановкой программы Lan2net. И я прекрасно понимаю, что журнал увеличивался записывая все новые соединения.
На скриншоте видны вкладки с надписями "Получено", "Отправлено", в которых, на тот момент, были показаны размеры переданной и полученной информации на IP DNS-сервера в Мб. Я не думаю, что запись сделана, а передачи небыло.

Aleks121,
Компьютер, который потреблял данный трафик, часом не контроллер домена или схемы?

Просто шлюз в сети. Обычная рабочая машинка.

Aleks121,
DNS-сервера от MS (на контролерах домена) любят телать такую "подлянку", пытаясь опрашивать все корневые сервера.

Проверьте по логам, какие именно сервера опрашивала Ваша машина.

kim-aa,
трафик (большой) шел конкретно на DNS провайдера и с него. А на счет опроса серверов я не смогу сказать, т.к. я переустановил Lan2net, который логировал соединения, в этот же день, и лог теперь я смогу просмотреть с момента переустановки.
Я думаю, что доказать провайдеру будет что либо трудно, и поэтому прийдется уповать, так сказать, на его благосклонность. Но письмо-притензию все-таки напишу. Правда еще незнаю как конкретно сформулировать.

трафик (большой) шел конкретно на DNS провайдера и с него. >>>
Да в том то и дело, что как раз в этом никакого криминала и нет. если твой сервак генерил DND-запросы, то и DNS отвечал DNS-реквестами. А вот какого фига твой сервак разухарился - ХЗ... Лично мое ИМХО, что пров тут не при чем и непричастность к генерации трафика ты не докажешь. Зря машину переставил, теперь никаких логов нет, т. ч. даже сам для себя на будущее не сможешь причину найти...