[Oleg Krylov]

Цитата noleiemit:

наговорила про якобы невидимый трафик, которого файеволл не видит »

Бывает Бред, на самом деле.
Опишите полностью и подробно топологию подключения к интернету, с версиями ОС и установленным ПО. Попробуем найти мерзавца.

[noleiemit]

На данный момент сервер отключен на сутки. Сможем просмотреть только после включения.

Сервер отключали из-за того момента, что как писал ранее, при блокировке входящих соединений, по присланой статистике хостера, локального (бесплатного) трафика не было, а вот каким-то образом зарубежный (платный) проходил.

Сейчас сервер отключен и никакого трафика вообще не должно быть. Посмотрим завтра, что покажет статистика подсчета трафика, которую хостер присылаем на емейл.

[El Scorpio]

noleiemit, это UDP.
Помнится, на городском форуме главный инженер филиала провайдера предупреждал, что при статичном IP абонент может заплатить много денег, если на его статичный IP-адрес кто-нибудь отправит по UDP что-нибудь большое. Ведь данный протокол не требует уведомлений о доставке сообщения - то есть, начатая передача будет продолжена, даже если получатель вообще выключит компьютер. А вот счётчик провайдера, через который эти пакеты будут проходить, их будет учитывать.

Возможно два варианта.
1. Кто-то нехороший вас активно глушит.
2. Один из настройщиков сервера, открыв его через "удалённый рабочий стол" (или что-то в этом роде) открыл сайт потокового вещания (какую-нибудь "немецкую классику" или интернет-радиостанцию) и, вместо завершения сесии, просто закрыл окно проигрывателя.
Судя по скорости, более вероятен второй вариант.

Варианты решения...
Сходу могу предложить только административный - если IP отправителя известен, то можно официально заявить провайдеру, что получать информацию конкретно с этого адреса вы не желаете.

[noleiemit]

El Scorpio, по вашим словам все сходится.

Цитата El Scorpio:

noleiemit, это UDP. Помнится, на городском форуме главный инженер филиала провайдера предупреждал, что при статичном IP абонент может заплатить много денег, если на его статичный IP-адрес кто-нибудь отправит по UDP что-нибудь большое. post=1186773]»[/post]

IP сервера статический. Вот скрин


как видно, трафик идет по UDP

Цитата:

Ведь данный протокол не требует уведомлений о доставке сообщения - то есть, начатая передача будет продолжена, даже если получатель вообще выключит компьютер. А вот счётчик провайдера, через который эти пакеты будут проходить, их будет учитывать.

И здесь верно: для эксперимента выключали сервер на сутки, но все равно трафик насчитывало провайдером.

Цитата El Scorpio:

Возможно два варианта. 1. Кто-то нехороший вас активно глушит. 2. Один из настройщиков сервера, открыв его через "удалённый рабочий стол" (или что-то в этом роде) открыл сайт потокового вещания (какую-нибудь "немецкую классику" или интернет-радиостанцию) и, вместо завершения сесии, просто закрыл окно проигрывателя. Судя по скорости, более вероятен второй вариант. »

Скорее всё-таки первый вариант. Т.к. трафик весь платный входящий. Для вещания нужен исходящий.

Цитата El Scorpio:

Варианты решения... Сходу могу предложить только административный - если IP отправителя известен, то можно официально заявить провайдеру, что получать информацию конкретно с этого адреса вы не желаете. »

IP известен, но вот только провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!!

Цитата:

IP известен, но вот только провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!!

Здесь немного уточню, отвечала тех.поддержка хостера сидящая в компании. Офис провайдера находится не у них.

[dmitryst]

Цитата noleiemit:

провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!! »

в UNIX это делается так же, как и в отношении TCP, как, впрочем, и с другими протоколами. Либо у них винда, либо они не хотят (или не умеют ) этот траффик блокировать. ИМХО. Присмотритесь к другому провайдеру, или хотя бы смените адрес у текущего.

[El Scorpio]

noleiemit, что значит "провайдер ответил"? Весь громким хором или какой-то сидящий на техподдержке мальчик?
Или же так было написано в официальном ответе с подписью директора?

Вообще-то провайдер может всё, тем более может отсечь столь простую "атаку". Достаточно добавить в файрволл правило "от АДРЕС1 на АДРЕС2 протокол ЛЮБОЙ порт ЛЮБОЙ*результат СБРОСИТЬ". А*потом уже ваш провайдер обратится к провайдеру "атакующего" с вопросом - какого хера его абонент кидается по UDP большими объёмами незапрошенной информации.
Просто похоже вашему провайдеру лениво начинать эти разборки и не хочется платить за получение "вашей" информации вместо вас.
Ещё раз, если вас посылают официально, идите к другому провайдеру.

[noleiemit]

К сожалению к серверам подключаются только один провайдер. Остальные мелкие обслуживают только клиентов для мелкого Интернета: домашнего, офиса и т.д. К доступа в Дата-Центр они не имеют.

Цитата noleiemit:

IP известен, но вот только провайдер ответил, что заблокировать данный IP со стороны провайдера не возможно!!! »

Здесь немного уточню, отвечала тех.поддержка сидящая в компании. Хостер серьёзный, малолетки наврятли там работают.

Цитата:

Вообще-то провайдер может всё, тем более может отсечь столь простую "атаку". Достаточно добавить в файрволл правило "от АДРЕС1 на АДРЕС2 протокол ЛЮБОЙ порт ЛЮБОЙ*результат СБРОСИТЬ". А*потом уже ваш провайдер обратится к провайдеру "атакующего" с вопросом - какого хера его абонент кидается по UDP большими объёмами незапрошенной информации.

У данного провайдера канал составляет 11гигабит/с, думаю за моих 4 гига в сутки он не будет реагировать.

Посоветуйте как бороться с UDP трафиком. ОС windows server 2003

[dmitryst]

Цитата noleiemit:

Посоветуйте как бороться с UDP трафиком. ОС windows server 2003 »

поставить прокси сервер на UNIX

[noleiemit]

Различные прокси, впн и т.п. запрещены. Такой пункт есть в договоре с провайдером.