Та вот в том то и беда, что неизвестно сколько и кому он отправляет и зполучает. У меня такая беда: короче у меня стоят программы для подсчета трафика Bandwidht Monitor и NetLimiter. Так вот в чем беда: Если сложить потребленный трафик программами по NetLimiter то получается допустим 11 метров а при просмотре статистики на сервере у провайдера получается 23. Bandwidht Monitor показывает приблизительно тоже что и сервер провайдера. Но я немогу понять одной вещи: откуда взялось 12 метров лишнего трафика? Ведь NetLimiter показывает статистику по трафику по каждому приложению то откуда берется эти 12 метров если они не указаны не в одном приложении?
И что вы можете сказать о поводу этих программ: NetLimiter, Bandwidht Monitor. И интересно чем пользуетесь вы для подсчета трафика? Стоит ли им доверять?
Просто эта проблема стоит очень остро так как я отдаю за трафик по 60 копеек за мегабайт.. Дороговоато однако выходит... Тем более что не за что плачу.

Нет, это в любом случае не Билли (и не исходная тема этой дискуссии)

NetLimiter и Bandwidht Monitor не пользовался. У меня стоит Sygate Personal Firewall, но у меня ADSL Unlimited, так что трафиком интересуюсь только на предмет атак. Почему бы не позвонить вашему провайдеру? Пусть расшифруют статистику.
И обязательно поставьте фаервол - любой, но немедленно.

Файрволл у меня стоит но все равно я немогу понять что накачивает лишний трафик..

Файрволл Аутпост версии 2.6. Соединение у меня через РадиоЕзернет (тарелка на креше стоит, как точно называется не помню). В файлообменных сетях не участвую. Айпишник фиксированый. А откуда берется немогу понять...

TORNADOL- Ушли от исходной темы, но пока модератор молчит...
У вас два различных вопроса:
1. Весь ли трафик, регистрируемый провайдером, действительно приходит с/на вашей машины.
2. Весь ли трафик с вашей машины действительно инициирован вами и на вашу пользу.

1. На первый вопрос (очень грубо) можно ответить без всяких митеров. На значке соединения есть счетчик пакетов (отправлено/получено). Пока, кажется, еще никто не писал вирусов, подправляющих значения этого счетчика или заставляющих модем не мигать (?). Так что примем его с оговорками на веру. TCP/IP пакет max 1500 байт. Значит, суммарный трафик в метрах в конце сессии totalMeg = ((totalSent+totalReceived)*1500)/(1024*1024) Ошибка тут может быть от 0% до 50% в меньшую сторону, так как не учитываются размеры неполных пакетов и дейтаграмм UDP. В любом случае 100% перебор (как вы подозреваете) вы отловите. Если действительно получается 100% лишних, то немедленно идите разбираться к провайдеру.

2. Если трафик примерно совпадает со счетчиком, то надо проверить активность всех программ. Любой нормальный фаервол показывает сетевую активность всех процессов на компьютере (кто отправляет/получает, откуда/куда). Также можно сбросить настройки на "все процессы только по запросу". Тогда любая программа, прежде чем отправить хоть один байт, должна будет сначала спросить у вас.

3. Это не поможет, если вы уже подцепили spyware - они прячутся за трафик броузера. Прогоните систему через Spyware Doctor от PC Tools, душевная штучка.

4. С фиксированным IP вы можете оказаться под любительской DOS-подобной атакой. Есть такие сайты ("сделай вирус сам за 5 минут") и такие козлы, которых мало драли в детстве. Фаервол такие пакеты отбросит, но они все равно засчитаются в ваш входящий трафик (да и канал сужается). Если модем постоянно мигает "на вход", а лог забит блокированными пакетами, позвоните провайдеру. Им эта байда самим поперек горла, помогут.

Так вы либо найдете проблему, либо убедитесь, что все в порядке.

TORNADOL & VKK
Если вы желаете обсуждать отслеживание трафика, то я могу вынести дискуссию в отдельную тему.

Vadikan
Вообще-то наболевшей темой является что-нибудь типа "Скрытый трафик Windows XP: правда и домыслы". Этот трафик действительно есть, действительно не всегда желателен (но иногда обязателен). У народа про него ходят самые страшные слухи на тему "Большой Брат видит тебя". Можно было бы устроить групповую терапию + обмен знаниями.

1. Ну судя по тому что у меня фиксированый айпишник значит трафик действительно инициированый моей машиной, так как статистика показывается по айпишнику.
2. А вот на счет трафика инициированого моей машиной или мной в мою пользу, я в этом сильно сомневаюсь.
Ситуация следующая. Я работаю администратором в инет-кафе. К моему админскому компьютеру подключено 25 машин клиентских, которые через программу учета трафика и времени (NetLock) ходят в интернет. Эта прогркамма считает в метрах и еще немного брешет, так как NetLimiter показывает что она получила трафика больше чем пишет в отчете. Но не на столько больше чтоб вышла разница между показаниями сервера провайдера и моими подсчетами.
Касательно ответа на вопрос 1: я пока не совсем разобрался как этот трафик считается. Приведу реальный пример: на сервере провайдера я вижу что я за сегодня получил из сети 138914 кб (исходящий трафик мне не считается), следовательно я должен эти 138914 разделить на 1024 и получить 135,85. Правильно?
Касательно ответа на вопрос 2: могут ли недобросовестные программы маскироватся под трафик других программ?
Касательно ответа на вопрос 3: скачаем данные утилиты и будем проверять. Спасибо за совет.
Касательно ответа на вопрос 4: Я неоднократно замечал такие выходки неизвестных. Особенно вечером файрволл начинает разрыватся. Сканирование портов происходит очень часто. Я как то решил проверить как реагирует файрволл на сканирование портов. Поставил на клиентской машине сканер портов и запустил чтоб он просканировал айпишник админской машины. Файрволл высветил что сканируются порты и айпишник кто сканирует и забанил меня на 5 минут, да так что я потерял связь с ФТП сервером находящемся на админской машине. Следовательно так же он и поступит со всеми.?

Ну, математика в порядке :) Так а сколько получается в этой же ситуации по вашим замерам?

Да. Почти все SpyWare, например, прячутся за трафик броузера. Но главная задача любой SpyWare остаться незамеченной, не привлекать внимания как можно дольше. Поэтому 100%(?) перерасход трафика они вряд ли будут делать. Хотя с 25 машин может набежать...

Про фаервол: главное, чтоб он умел отбивать псевдо-системные запросы. Прозвон портов чуять - дело нехитрое, то-то развелось всяких фаерволов, как MP3 проигрывателей. А вот делать стойку на "системные" запросы - тут опыт и знания нужны.
Я вам советую сходить на Sygate'овскую проверялку Она сэмитирует все известные атаки на порты (заражать, конечно, не будет :)). У вас должна получится страница с двумя сообщениями: "Unable to determine your computer name!" и "Unable to detect any running services!". Если так, то все в порядке. Если ей удастся войти в систему хоть через один сервисный порт, то у вас потенциально БОЛЬШИЕ проблемы.

VKK
Гы. Решил протеститься по приведенной ссылке. Дык похоже этот сервис набросился не на мою машину, а на сервер прова :) У меня выделенка с доступом через VPN, судя по тому, что он смог определить, то он поимел именно сервер прова, а до моей машины не добрался, может мне и файервол тогда не нужен? :)

Вот и я сходил по вашей ссылки.. Результат был тот же. Он набросился на проксик моего провайдера и написал что все путем. Пользуюсь я Аутпостом версии 2.6. Как он на ваш взгляд? Поидее если остальные компьютеры в моей сети заражены то весь трафик даже и spyware должна считать программа которая занимается подсчетом трафика. Как уберечься от спайвара на клиентских машинах? Ведь я устану их каждый день чистить. ?

Про Аутпост не знаю ничего: ни плохого, не хорошего.
Традиционно были ZoneAlarm от Zone Labs и Sygate Firewall от Sygate, Inc. Разница, что ZoneAlarm с самого начала была для частников, а Sygate всегда традиционно работала на корпоративные защиты, только три года назад сделала версию для частников. Обе бесплатны (для частных пользователей). Обе на рынке с незапамятных времен, еще когда Netscape 2 был лучшим на свете броузером. То есть ломают их и обходят (а они латаются на ходу) уже 11 лет без перерыва по всему свету. А кто проверял Аутпост на вшивость и где? Хотя он может быть самый-самый фаервол, не знаю. И проверять на своем железе не хочется :)

Мы так и не выяснили, есть он у вас или нет. А в целом - как с вирусами. Это же не грипп, при кашле не передается. Если фаервол в порядке, то остаются только два варианта:
1. Через дыру в Internet Explorer
2. Прямой инсталляцией .exe-дряни

то есть:

1. Explorer со всеми critical updates, или вон FireFox вместо него (зверь, но интерфейс на английском).
2. Все юзеры c правами Guest - и прочая на тему "права доступа".

В случае кафе вообще есть программа (можно поискать), чтоб на экране было только окно броузера с засереными настройками. То есть лазай куда хочешь по интернету, но ни в винду не выйти, ни настройки не изменить, ни окно закрыть. Такие в Америке видел и пользовал - в библиотеках стоят.

VKK
Это почему? И с официального сайта и mozilla.ru мона скачать русскую локализацию :-)
Совсем не обязательно, дыр очень много!

Так вот и я немогу ничего понять. Трафик берется откуда то, а откуда непонятно. И я еще сам незнаю spyware это или нет. А вы немогли бы подсказать программу для отлова шпионских модулей только бесплатную а то политика нашего заведения не разрешает использовать ломаное ПО. И еще есть проблема с вирусом. На клиентских машинах сидить вирь под названием bugbear и там какие то цифры с собакой в конце. Он в процесах отображается как BEFS.EXE. Немогли бы вы еще подсказать как с ним боротся а то он уже заколебал. Только вроде почищу машины а на следующий день все по новой. И как он пролазит мне непонятно. Может это он нагоняет мне лишний трафик? Я за ним замечал постоянное сканирование портов на моей машине со стороны зараженных-клиентских.

Так с этого и надо было начинать, а то мы тут какой-то абстрактной алгеброй занимаемся! Эта штука запросто может быть вашей проблемой, и фаервол не поможет, так как он автоматически вырубает любой фаервол и 3rd-party контроллеры трафика каждые 30 сек (а как нагадит, включает опять). И удалить его централизованно с сервера не удастся, так как при шухере он умеет убегать по локалке в безопасное место.

1. Скачать Symantec'овскую утилиту FxBgbear (freeware) и сбросить по копии на каждую машину
2. Скачать Spyware Doctor (freeware scanner, shareware monitor, но нам нужен только сканер) от PC Tools и сбросить по копии на каждую машину
3. На каждой машине включая сервер повторить ту же операцию:

а) Панель управления > Система > Восстановление системы > поставить флажок "Отключить восстановление системы"
б) Выключить машину.
в) Отключить всю периферию, кроме шнура питания.
г) Включить в Safe Mode
д) Запустить FxBgbear
е) Выключить
ё) Не подключая периферию, особенно сетевой кабель, включить в нормальном режиме.
ж) Запустить Spyware Doctor и дождаться конца проверки.
з) Выключить

Когда пункты а) - з) сделаны на всех машинах, воткните обратно кабели, включите машины и включите обратно восстановление системы на каждой.

Затем на каждой машине Пуск > Стандартные > Служебные > Восстановление системы > Создать точку восстановления
Назовите точку отката как-нибудь, что бы потом вспомнить, типа "Last OK state".


Следствием пятой аксиомы Паркинсона-Мёрфи является невозможность создания абсолютно неприступной системы. Каждая система характеризуется лишь большим или меньшим количеством людей, способных ее взломать, и временем взлома.
Это я к тому, что такую или подобную операцию придется, возможно, производить и в будущем ;-)

Большое спасибо за такой развернутый и вполне понятный ответ. Как приедет наш главный системщик мы займемся этим вопросом обязательно. И у меня есть по этой теме еще пару вопросов: Потребляет ли трафик файрволл для своей нормальной работы? И можно ли защитится от этого вируса раз и навсегда? Потому что он появляется каждый день. И я заметил что он проникает через файлы Visual Basic. Это я обнаружил когда просматривал отчет о сканировании. Я в файрволе запретил использовать Visual Basic, но помойму это ни кокого эффекта не дало. Как его выгнать раз и навсегда. У моих знакомых такой заразы на машинах нет. Конечно если это вообще возможно....


И еще я заметил интересную особенность. Вчера я поотключал некоторые службы в ХР и машина стала потреблять меньше трафика. Незнаю с чем это связано но машина работает в том же режиме и глюков незамечено, а трафика набегает меньше.

TORNADOL
Вам надо начать с установки программы, анализирующей трафик, например Ethereal. Что же касается борьбы с вирусами, то для таких вопросов есть форум Информационная Безопасность. В общем, "проблема - одна тема", а не "один участник - одна тема".