Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] невозможно закрыть с IP трафик - он не видим (http://forum.oszone.net/showthread.php?t=147123)

noleiemit 05-08-2009 04:10 1185891

невозможно закрыть с IP трафик - он не видим
 
Здравствуйте!


Провайдер физ. сервера разделяет по IP на трафик платный и бесплатный. Все IP платного заблокированы файеволлом wipfw. В последние дни начал появлятся платный трафик (на мейл приходит статистика трафика за каждый день). С помощью CommTraffic определили IP платного (Германия):
78.46.202.163 - IP
static.163.202.46.78.clients.your-server.de - имя хоста

Данный IP в файеволле wipfw неразрешен. От тех поддержки ничего толкового не узнали. Посоветовали нанять администратора со стороны (таких услуг они не предоставляют).

Суть темы в том, что у мы начали сомневаться, что трафик мы должны оплачивать, т.к.

факт №1
Сегодня установили 2ip NetMonitor - Проверка сетевых соединений и AnVir Task Manager для установления факта: к какой программе присоединен IP 78.46.202.163. Две программы вообще не отображают этого IP 78.46.202.163, но трафик постоянно идет на скорости 380 кбит/с (за сутки 4.1 Gb).

Тех.поддержка толком не могла ничего обосновать, наговорила про якобы невидимый трафик, которого файеволл не видит. И с ним не работает ни одно приложение и т.п.

факт №2
С субботу в обед на сервере были заблокированы все входящие соединения в результате установки TMeter. Только в понедельник техподдержкой был отключен TMeter и сервер стал доступен. Тех.поддержка объяснила, что ваш сервер был включен, но блокировались все входящие. Из этих слов можно сделать вывод, что на сервере не могло быть никакого входящего трафика за воскресенье. Однако в понедельник приходит на мейл статистика на прошлый день:

Цитата:

Статистика траффика за 02.08.2009, Гб:

- зарубежный трафик суммарный: 3.93
- зарубежный трафик входящий: 3.93
- зарубежный трафик исходящий: 0
- локальный трафик входящий: 0.01
- локальный трафик исходящий: 0
входящий: 3.93 Гб при том, что сервер не мог принимать входящие!!!
Про то что сервер не мог принимать входящие говорит локальный трафик, его объем почти равен 0.

Сервер направлен на 99.999% на локальный трафик, и статистика приходит примерно следующая:

Цитата:

Статистика траффика за 03.07.2009, Гб:

- зарубежный трафик суммарный: 0
- зарубежный трафик входящий: 0
- зарубежный трафик исходящий: 0
- локальный трафик входящий: 102.72
- локальный трафик исходящий: 837.74
зарубежного трафика было всегда 0.

Посоветуйте, что делать в данном случае, когда входящий платный трафик с данного IP 78.46.202.163 можно подсчитать (считает CommTraffic), но с ним не работает ни одно приложение. И даже он "проскакивает" на сервер, при блокировки всех входящих подключений.

Oleg Krylov 05-08-2009 09:05 1185971

Цитата:

Цитата noleiemit
наговорила про якобы невидимый трафик, которого файеволл не видит »

Бывает :) Бред, на самом деле.
Опишите полностью и подробно топологию подключения к интернету, с версиями ОС и установленным ПО. Попробуем найти мерзавца.

noleiemit 05-08-2009 19:51 1186468

На данный момент сервер отключен на сутки. Сможем просмотреть только после включения.

Сервер отключали из-за того момента, что как писал ранее, при блокировке входящих соединений, по присланой статистике хостера, локального (бесплатного) трафика не было, а вот каким-то образом зарубежный (платный) проходил.

Сейчас сервер отключен и никакого трафика вообще не должно быть. Посмотрим завтра, что покажет статистика подсчета трафика, которую хостер присылаем на емейл.

El Scorpio 06-08-2009 06:14 1186773

noleiemit, это UDP.
Помнится, на городском форуме главный инженер филиала провайдера предупреждал, что при статичном IP абонент может заплатить много денег, если на его статичный IP-адрес кто-нибудь отправит по UDP что-нибудь большое. Ведь данный протокол не требует уведомлений о доставке сообщения - то есть, начатая передача будет продолжена, даже если получатель вообще выключит компьютер. А вот счётчик провайдера, через который эти пакеты будут проходить, их будет учитывать.

Возможно два варианта.
1. Кто-то нехороший вас активно глушит.
2. Один из настройщиков сервера, открыв его через "удалённый рабочий стол" (или что-то в этом роде) открыл сайт потокового вещания (какую-нибудь "немецкую классику" или интернет-радиостанцию) и, вместо завершения сесии, просто закрыл окно проигрывателя.
Судя по скорости, более вероятен второй вариант.

Варианты решения...
Сходу могу предложить только административный - если IP отправителя известен, то можно официально заявить провайдеру, что получать информацию конкретно с этого адреса вы не желаете.

noleiemit 06-08-2009 18:59 1187419

El Scorpio, по вашим словам все сходится.

Цитата:

Цитата El Scorpio
noleiemit, это UDP.
Помнится, на городском форуме главный инженер филиала провайдера предупреждал, что при статичном IP абонент может заплатить много денег, если на его статичный IP-адрес кто-нибудь отправит по UDP что-нибудь большое. post=1186773]»[/post]

IP сервера статический. Вот скрин


как видно, трафик идет по UDP



Цитата:

Ведь данный протокол не требует уведомлений о доставке сообщения - то есть, начатая передача будет продолжена, даже если получатель вообще выключит компьютер. А вот счётчик провайдера, через который эти пакеты будут проходить, их будет учитывать.
И здесь верно: для эксперимента выключали сервер на сутки, но все равно трафик насчитывало провайдером.

Цитата:

Цитата El Scorpio
Возможно два варианта.
1. Кто-то нехороший вас активно глушит.
2. Один из настройщиков сервера, открыв его через "удалённый рабочий стол" (или что-то в этом роде) открыл сайт потокового вещания (какую-нибудь "немецкую классику" или интернет-радиостанцию) и, вместо завершения сесии, просто закрыл окно проигрывателя.
Судя по скорости, более вероятен второй вариант. »


Скорее всё-таки первый вариант. Т.к. трафик весь платный входящий. Для вещания нужен исходящий.

Цитата:

Цитата El Scorpio
Варианты решения...
Сходу могу предложить только административный - если IP отправителя известен, то можно официально заявить провайдеру, что получать информацию конкретно с этого адреса вы не желаете. »

IP известен, но вот только провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!!

Цитата:

IP известен, но вот только провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!!
Здесь немного уточню, отвечала тех.поддержка хостера сидящая в компании. Офис провайдера находится не у них.

dmitryst 06-08-2009 22:41 1187594

Цитата:

Цитата noleiemit
провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!! »

в UNIX это делается так же, как и в отношении TCP, как, впрочем, и с другими протоколами. Либо у них винда, либо они не хотят (или не умеют :biggrin: ) этот траффик блокировать. ИМХО. Присмотритесь к другому провайдеру, или хотя бы смените адрес у текущего.

El Scorpio 07-08-2009 08:46 1187848

noleiemit, что значит "провайдер ответил"? Весь громким хором :) или какой-то сидящий на техподдержке мальчик?
Или же так было написано в официальном ответе с подписью директора?

Вообще-то провайдер может всё, тем более может отсечь столь простую "атаку". Достаточно добавить в файрволл правило "от АДРЕС1 на АДРЕС2 протокол ЛЮБОЙ порт ЛЮБОЙ*результат СБРОСИТЬ". А*потом уже ваш провайдер обратится к провайдеру "атакующего" с вопросом - какого хера его абонент кидается по UDP большими объёмами незапрошенной информации.
Просто похоже вашему провайдеру лениво начинать эти разборки и не хочется платить за получение "вашей" информации вместо вас.
Ещё раз, если вас посылают официально, идите к другому провайдеру.

noleiemit 07-08-2009 16:54 1188331

К сожалению к серверам подключаются только один провайдер. Остальные мелкие обслуживают только клиентов для мелкого Интернета: домашнего, офиса и т.д. К доступа в Дата-Центр они не имеют.
Цитата:

Цитата noleiemit
IP известен, но вот только провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!! »

Здесь немного уточню, отвечала тех.поддержка сидящая в компании. Хостер серьёзный, малолетки наврятли там работают.


Цитата:

Вообще-то провайдер может всё, тем более может отсечь столь простую "атаку". Достаточно добавить в файрволл правило "от АДРЕС1 на АДРЕС2 протокол ЛЮБОЙ порт ЛЮБОЙ*результат СБРОСИТЬ". А*потом уже ваш провайдер обратится к провайдеру "атакующего" с вопросом - какого хера его абонент кидается по UDP большими объёмами незапрошенной информации.
У данного провайдера канал составляет 11гигабит/с, думаю за моих 4 гига в сутки он не будет реагировать.

Посоветуйте как бороться с UDP трафиком. ОС windows server 2003

dmitryst 07-08-2009 17:56 1188382

Цитата:

Цитата noleiemit
Посоветуйте как бороться с UDP трафиком. ОС windows server 2003 »

поставить прокси сервер на UNIX :)

noleiemit 07-08-2009 18:12 1188395

Различные прокси, впн и т.п. запрещены. Такой пункт есть в договоре с провайдером.

noleiemit 10-09-2009 00:16 1215219

Вообщем, по словам хостера со стороны провайдера данную Dos-аттаку UDP трафиком остановить не получилось. Пришлось самому связываться с зарубежным провайдером, для закрытия сервера оттакующего. К счастью, суппорт оказался адекватным и очень оперативным.


Время: 08:11.

Время: 08:11.
© OSzone.net 2001-