![]() |
невозможно закрыть с IP трафик - он не видим
Здравствуйте!
Провайдер физ. сервера разделяет по IP на трафик платный и бесплатный. Все IP платного заблокированы файеволлом wipfw. В последние дни начал появлятся платный трафик (на мейл приходит статистика трафика за каждый день). С помощью CommTraffic определили IP платного (Германия): 78.46.202.163 - IP static.163.202.46.78.clients.your-server.de - имя хоста Данный IP в файеволле wipfw неразрешен. От тех поддержки ничего толкового не узнали. Посоветовали нанять администратора со стороны (таких услуг они не предоставляют). Суть темы в том, что у мы начали сомневаться, что трафик мы должны оплачивать, т.к. факт №1 Сегодня установили 2ip NetMonitor - Проверка сетевых соединений и AnVir Task Manager для установления факта: к какой программе присоединен IP 78.46.202.163. Две программы вообще не отображают этого IP 78.46.202.163, но трафик постоянно идет на скорости 380 кбит/с (за сутки 4.1 Gb). Тех.поддержка толком не могла ничего обосновать, наговорила про якобы невидимый трафик, которого файеволл не видит. И с ним не работает ни одно приложение и т.п. факт №2 С субботу в обед на сервере были заблокированы все входящие соединения в результате установки TMeter. Только в понедельник техподдержкой был отключен TMeter и сервер стал доступен. Тех.поддержка объяснила, что ваш сервер был включен, но блокировались все входящие. Из этих слов можно сделать вывод, что на сервере не могло быть никакого входящего трафика за воскресенье. Однако в понедельник приходит на мейл статистика на прошлый день: Цитата:
Про то что сервер не мог принимать входящие говорит локальный трафик, его объем почти равен 0. Сервер направлен на 99.999% на локальный трафик, и статистика приходит примерно следующая: Цитата:
Посоветуйте, что делать в данном случае, когда входящий платный трафик с данного IP 78.46.202.163 можно подсчитать (считает CommTraffic), но с ним не работает ни одно приложение. И даже он "проскакивает" на сервер, при блокировки всех входящих подключений. |
Цитата:
Опишите полностью и подробно топологию подключения к интернету, с версиями ОС и установленным ПО. Попробуем найти мерзавца. |
На данный момент сервер отключен на сутки. Сможем просмотреть только после включения.
Сервер отключали из-за того момента, что как писал ранее, при блокировке входящих соединений, по присланой статистике хостера, локального (бесплатного) трафика не было, а вот каким-то образом зарубежный (платный) проходил. Сейчас сервер отключен и никакого трафика вообще не должно быть. Посмотрим завтра, что покажет статистика подсчета трафика, которую хостер присылаем на емейл. |
noleiemit, это UDP.
Помнится, на городском форуме главный инженер филиала провайдера предупреждал, что при статичном IP абонент может заплатить много денег, если на его статичный IP-адрес кто-нибудь отправит по UDP что-нибудь большое. Ведь данный протокол не требует уведомлений о доставке сообщения - то есть, начатая передача будет продолжена, даже если получатель вообще выключит компьютер. А вот счётчик провайдера, через который эти пакеты будут проходить, их будет учитывать. Возможно два варианта. 1. Кто-то нехороший вас активно глушит. 2. Один из настройщиков сервера, открыв его через "удалённый рабочий стол" (или что-то в этом роде) открыл сайт потокового вещания (какую-нибудь "немецкую классику" или интернет-радиостанцию) и, вместо завершения сесии, просто закрыл окно проигрывателя. Судя по скорости, более вероятен второй вариант. Варианты решения... Сходу могу предложить только административный - если IP отправителя известен, то можно официально заявить провайдеру, что получать информацию конкретно с этого адреса вы не желаете. |
El Scorpio, по вашим словам все сходится.
Цитата:
![]() как видно, трафик идет по UDP Цитата:
Цитата:
Скорее всё-таки первый вариант. Т.к. трафик весь платный входящий. Для вещания нужен исходящий. Цитата:
Цитата:
|
Цитата:
|
noleiemit, что значит "провайдер ответил"? Весь громким хором :) или какой-то сидящий на техподдержке мальчик?
Или же так было написано в официальном ответе с подписью директора? Вообще-то провайдер может всё, тем более может отсечь столь простую "атаку". Достаточно добавить в файрволл правило "от АДРЕС1 на АДРЕС2 протокол ЛЮБОЙ порт ЛЮБОЙ*результат СБРОСИТЬ". А*потом уже ваш провайдер обратится к провайдеру "атакующего" с вопросом - какого хера его абонент кидается по UDP большими объёмами незапрошенной информации. Просто похоже вашему провайдеру лениво начинать эти разборки и не хочется платить за получение "вашей" информации вместо вас. Ещё раз, если вас посылают официально, идите к другому провайдеру. |
К сожалению к серверам подключаются только один провайдер. Остальные мелкие обслуживают только клиентов для мелкого Интернета: домашнего, офиса и т.д. К доступа в Дата-Центр они не имеют.
Цитата:
Цитата:
Посоветуйте как бороться с UDP трафиком. ОС windows server 2003 |
Цитата:
|
Различные прокси, впн и т.п. запрещены. Такой пункт есть в договоре с провайдером.
|
Вообщем, по словам хостера со стороны провайдера данную Dos-аттаку UDP трафиком остановить не получилось. Пришлось самому связываться с зарубежным провайдером, для закрытия сервера оттакующего. К счастью, суппорт оказался адекватным и очень оперативным.
|
Время: 08:11. |
Время: 08:11.
© OSzone.net 2001-