#1 01.05.07 11:03
Кто мог съесть трафик?
В общем-то, не один год работаю в сфере компов и в частности сетевых технологий, не один десяток серваков поднимал, которые и по сей день, что называется, работают. Проблема в следующем.
Сеть организована следующим образом: от провайдера приходит "веревка", на ней - Linux (firewall, squid, NAT) за ним - Винда. Линуксовая машина отрубается только когда зависнет. Есть у нее такой подглюк, в чем - не могу разобраться. Для избавлнеия от него просто четыре раза в сутки через каждые 6 часов ее перегружаю. Провайдерский IP - "серый", извне на него ничего не пробрасывается.
с 27 числа виндовая машина стояла загружена, не выключалась, не перегружалась, на ней был запущен Касперский, strong-dc на хостел. На машине лишь в районе полуночи-часу работал я сам. Машина совершенно адекватная, адекватная и без вирусов до сих пор.
по данным провайдера (делится на 02:00 - 8:00 и 8:00 - 02:00) получается следующее:
27.04 копеечный трафик как 8-2 так и с 2 до 8
28.04 151Мб (8-2), 0Мб (2-8)
29.04 781Мб (8-2), 373Мб (2-8)
30.04 копейки, копейки
По данным провайдера, но то, что вижу я в системе биллинга:
27.04 копеечный трафик как 8-2 так и с 2 до 8
28.04 187.70Мб (8-2), 0Мб (2-8)
29.04 859.96Мб (8-2), 93.48Мб (2-8)
30.04 копейки, копейки
Поскольку на линуксовой машине все, что не в пиринговые и локальные сети идет, фаерволится и открывается только по необходимости, а вебовские и фтпшные запросы проксируются, то статистика сквида на моей машине (весь трафик, вместе с тем же хостелом, который пиринговый, не подлежит учету):
28.04 11.6Мб (за сутки)
29.04 7.3Мб (за сутки)
Звонок "другу" (провайдеру) помог выяснить лишь одно - практически весь трафик "пришел" с IP 90.189.133.112, причем с порта 1234 (вроде как еще был порт 8229 и что-то еще)
Кто-нибудь может чего-либо посоветовать, в какую сторону рыть? Заранее спасибо.
Offline
#2 01.05.07 11:21
Re: Кто мог съесть трафик?
Да, еще раз акцентирую внимание - с провайдерской стороны как-то идет упор на дневное время и трафик разбит по времени, а не "чохом". В то время, как днем 28 я был на работе, 29 - в Бердске...
Вот еще трассировочка к этому 90.189.133.112
Код::
Трассировка маршрута к b-internet.90.189.133.112.snt.ru [90.189.133.112] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 192.168.0.1 2 1 ms <1 мс 1 ms 192.168.110.1 3 * * * Превышен интервал ожидания для запроса. 4 1 ms 1 ms 2 ms gw.nordtelecom.ru [212.109.200.74] 5 334 ms 335 ms 335 ms 217.151.230.234 6 334 ms 334 ms 335 ms 217.151.224.7 7 341 ms 341 ms 340 ms 217.151.224.90 8 343 ms 340 ms 341 ms 212.162.44.77 9 341 ms 356 ms 343 ms ae-31-55.ebr1.Frankfurt1.Level3.net [4.68.118.158] 10 352 ms 351 ms 343 ms ae-1-100.ebr2.Frankfurt1.Level3.net [4.69.132.126] 11 354 ms 347 ms 362 ms ae-2.ebr1.Dusseldorf1.Level3.net [4.69.132.137] 12 357 ms 356 ms 345 ms ae-1-100.ebr2.Dusseldorf1.Level3.net [4.69.132.130] 13 358 ms 359 ms 346 ms ae-2.ebr1.Amsterdam1.Level3.net [4.69.133.89] 14 351 ms 361 ms 347 ms ae-1-100.ebr2.Amsterdam1.Level3.net [4.69.133.86] 15 362 ms 360 ms 361 ms ae-2.ebr2.London1.Level3.net [4.69.132.133] 16 358 ms 357 ms 360 ms ae-22-56.car2.London1.Level3.net [4.68.116.176] 17 473 ms 359 ms 360 ms 195.50.92.2 18 463 ms 464 ms 469 ms 217.106.1.18 19 467 ms 466 ms 468 ms 217.106.20.118 20 472 ms 469 ms 463 ms p182.xxx.sinor.ru [217.70.110.182] 21 465 ms 465 ms 467 ms ge4-1-7606.a23.snt.ru [213.228.75.2] 22 466 ms 464 ms 462 ms b-internet.213.228.75.14.snt.ru [213.228.75.14] 23 472 ms 473 ms 469 ms b-internet.213.228.94.1.snt.ru [213.228.94.1] 24 * * * Превышен интервал ожидания для запроса. 25 * * * Превышен интервал ожидания для запроса. 26 * * * Превышен интервал ожидания для запроса. 27 * * * Превышен интервал ожидания для запроса. 28 * * * Превышен интервал ожидания для запроса. 29 * * * Превышен интервал ожидания для запроса. 30 * * * Превышен интервал ожидания для запроса. Трассировка завершена.
Offline
#3 01.05.07 12:04
Re: Кто мог съесть трафик?
% Information related to '90.189.132.0 - 90.189.159.255'
inetnum: 90.189.132.0 - 90.189.159.255
netname: NGTS-WEBSTREAM
descr: Novosibirsk Local Telephone Company (NGTS) is Structural division
descr: of Open Joint Stock Company "Sibirtelecom"
З.Ы. У твоего "друга" однако бардак в сети скорее всего :) У меня у самого серый IP, но не раз приходили пакеты с сетей не входящих в пиринг.
Offline
#6 02.05.07 12:52
Re: Кто мог съесть трафик?
а ты увере что п2п не было подключенно к хабу вебстрима? потому исходя из полученной инфы получается, что либо кто-то присоеденился к нашему п2п из WS либо твой стронгДЦ был подключен к ним.
А посмотри в стронДЦ кто что качал, если инфа осталась, конечно.
Offline
#8 02.05.07 22:32
Re: Кто мог съесть трафик?
asp написал(а):
Stell Hawk, не осталось, уже позакрывал все, а в файлах, кажись, логов не веду. Но подключен был ТОЛЬКО к хостеловскому п2п.
Malkolm, у меня биллинг не стоит, а в ftp или squid'е этого адреса не значится.
Вот тебе и шлепок по заветному месту. Ставь учет траффика нормальный. Тогда сюрпризов таких не будет.
Offline
#9 03.05.07 00:55
Re: Кто мог съесть трафик?
Malkolm, шлепков мне всегда хватало. Дело в том, что свою детализацию я всегда могу получить и мне ее достаточно, а в случае конфликта ака судебного разбирательства, моими логами будет пренебрежение, бо у провайдера "сертифицированный" биллинг. Нафига мне в таком случае грузить свой личный сервак тем, что не сыграет мне в плюс и будет только кушать его ресурсы, которые я могу с успехом использовать для других целей? :)
Offline
#10 03.05.07 02:00
Re: Кто мог съесть трафик?
asp написал(а):
Нафига мне в таком случае грузить свой личный сервак тем, что не сыграет мне в плюс и будет только кушать его ресурсы, которые я могу с успехом использовать для других целей? :)
Нафига? Ну.. *задумавшись на мгновение*
Например для того, чтобы подобных тем не создавать.. и.. подобные вопросы решались в течении 5 минут.. и.. не так это грузит серваг о_О
Offline
#11 03.05.07 15:53
Re: Кто мог съесть трафик?
Malkolm, Хм...знаешь тут интересный момент, ну узнает он что да он сьел трафик, вот только вопрос как он ухитрился всё равно будет не решен. ну и что ему даст то что на его серваке инфа что трафик кушался по 1234 порту? у меня оутпост на машине четко скажет что и когда кушало, а вот сервак через который я хожу у меня же в комнате скажет лишь что да это был мой момп он скушал
Offline
#12 04.05.07 10:24
#13 04.05.07 15:42
Re: Кто мог съесть трафик?
Всё очень просто, сейчас в хостеловскую сеть имеют доступ другие сети, у которых, в свою очередь есть доступ в интернет.
Ну а так как скачать из одной пиринговой сети в другую через хостел нельзя, то трафик идёт через интернет.
Твой трафик сделал StrongDC, хоть он и висел на хостеловском хабе.
Я знаю, что Artful[1net] частенько висит и на хостеловском хабе и на вебстримовском.
Исправлено $up (04.05.07 15:49)
Offline
#14 04.05.07 17:03
Re: Кто мог съесть трафик?
Отсюда вопрос - как закрываться? Порты, насколько я понимаю, "гулящие"...
Впрочем, все равно не понял. Даже если он висит на двух хабах... тогда через него тоже должен пройти трафик что ли? Или... Правда не понял, как отработает в таком случае маршрутизация.
Исправлено asp (04.05.07 17:04)
Offline
#15 04.05.07 17:17
Re: Кто мог съесть трафик?
У тебя реальный IP? У него точно реальный IP. У тебя настроена маршрутизация через тунель к сети хостела и у него. При этом через хостел маршрут до него построить нельзя, т.к. вы из разных сетей. Но можно через интернет, ведь у обоих реальные IP.
Разрешить StrongDC соединения только через тунель
P.S. про два хаба, можешь не заморачиваться, я просто намекнул кто это мог быть 8)
Исправлено $up (04.05.07 17:27)
Offline
#16 05.05.07 01:00
#17 05.05.07 13:08
#18 05.05.07 13:10
#19 05.05.07 13:59
#20 05.05.07 14:20
#21 06.05.07 00:34
Re: Кто мог съесть трафик?
народ, рассматривайти р2р как просто некий список с ресурсами, динамически обновляющийся и выложенный на хостеле
человек подключается и выкладывает, что у него есть
вы подключаетеь и тоже выкладываете
а вот каким маршрутом вы будуте друг от друга качать - вопрос уже второй
просто почемуто многие думают, раз до сервака р2р халява, то и до юзеров, подключенных к этому серверу - тоже халява. в общем случает это неверно (хотя в большинстве - действительно будет внутренний трафик)
к примеру:
у хостела есть пиринг с булатом и нордтелекомом
то есть абоненты обоих провайдеров могут заходить на сервер р2р не через интернет
НО связи между провайдерами через хостел у них нет, только через интернет, то есть качаться файлики будут тоже через интернет в общем случае
Offline
#22 06.05.07 08:20
Re: Кто мог съесть трафик?
Max,видишь в чем проблемма, получается отследить нельзя. ты качаешь фильм, он нашелся в хабе у 10 человек, и качает со всеех 10-ти посмотрел вроде все свои(не только хостелЖ-)), всех 10 человек трасертить это уже маразмы.наадо на хостеле какой то болг сделать чтобы люди туда отписывали если встречают такие фишкиЖ-)
Offline
#23 06.05.07 09:08
Re: Кто мог съесть трафик?
Не торопился я ставить п2п на сервак на свой и, видимо, не судьба теперь уже. Если за четыре дня включенного компа два дня прошли с такими "последствиями", то что будет за месяц :'(
Насколько я понял, этот трафик никак не "отсеять", если не дропать все интернетовские пакеты...
Исправлено asp (06.05.07 09:09)
Offline
#24 06.05.07 21:05
Re: Кто мог съесть трафик?
почему? у тебя линух на серваке? через -m owner
запускай dc под уникальным --uid-owner и фильтруй пакеты в зависимости от локальных диапазонов в объединении с owner
или --cmd-owner dcclient
iptables -A OUTPUT -m owner --cmd-owner dcclient -d 192.168.0.0/16 -j ACCEPT
iptables -A OUTPUT -m owner --cmd-owner dcclient -d 10.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -m owner --cmd-owner dcclient -d 217.71.140.0/22 -j ACCEPT
iptables -A OUTPUT -m owner --cmd-owner dcclient -j REJECT
owner
This module attempts to match various characteristics of the packet creator, for locally-generated packets.
It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no
owner, and hence never match.
--uid-owner userid
Matches if the packet was created by a process with the given effective user id.
--gid-owner groupid
Matches if the packet was created by a process with the given effective group id.
--pid-owner processid
Matches if the packet was created by a process with the given process id.
--sid-owner sessionid
Matches if the packet was created by a process in the given session group.
--cmd-owner name
Matches if the packet was created by a process with the given command name. (this option is present
only if iptables was compiled under a kernel supporting this feature)
NOTE: pid, sid and command matching are broken on SMP
Offline
#25 06.05.07 22:25
Re: Кто мог съесть трафик?
Max, а я вот думал, что нет под линь файрвола работающего на уровне приложений, а тут вот красивое решение :) спасибо макс!
В итоге делаем группу типа suckers добавляем запускаем подозрительные процессы от этой группы и наслаждаемся, елки-палки :)
Исправлено strike (06.05.07 22:27)
Offline
#26 07.05.07 00:50
#27 07.05.07 04:24
Re: Кто мог съесть трафик?
Хм... а если стоит винда с СДЦ то как от этого могу защитться, конечно понимаю ип виртуальный и канал х-нет можно выключить... только неудобно все время сидеть без инета когда запущен СДЦ... есть какой выход ?
Offline
#28 07.05.07 11:27
Re: Кто мог съесть трафик?
мпак, можно почти любой виндёвый файрвол, в котором можно указать процесс и куда ему можно ходить
например оутпост это должен уметь, но он жутко корявый
зене-аларм вроде дает выбирать процессы, но не знаю, можно ли ему диапазоны ИП вбивать
честно говоря, виндёвые файрволы не юзаю, кроме как на машинках, смотрящих в инет включаю "защитить мое подключение к интернет", в некоторых случаях это может спасти, а в общем случае - все равно ничего не спасет :))
Offline
#29 07.05.07 12:00
Re: Кто мог съесть трафик?
Оть блин :) поставлю висту и все заблокирую(там вроде фаер помоднявие), вплоть до выдергивания кабеля :)))
Offline
#30 07.05.07 14:29
#31 07.05.07 15:14
Re: Кто мог съесть трафик?
а, может, альтернативу какую-то StrongDC найти? ИМХО, неправильно это... Ладно, когда машина сама по себе - на ней по-правильному, должен стоять фаер, если она в сети.Но вот когда машина за отдельно выделенным маршрутизатором - фаер на машине - как минимум, нелогично :(
Offline
#32 07.05.07 16:18
Re: Кто мог съесть трафик?
asp написал(а):
а, может, альтернативу какую-то StrongDC найти? ИМХО, неправильно это... Ладно, когда машина сама по себе - на ней по-правильному, должен стоять фаер, если она в сети.Но вот когда машина за отдельно выделенным маршрутизатором - фаер на машине - как минимум, нелогично :(
Ну фиг знает. Вот на прове тоже стоит маршрутизатор, но мне чета страшно и все равно пихаю себе фаервол )
Offline
#33 07.05.07 16:26
Re: Кто мог съесть трафик?
Malkolm, страшно-то оно понятно, потому как там - "дядя" какой-то рулит, а здесь - ты сам. Но вопрос-то в том, что серваком-маршрутизатором я сам управляю по собственным нуждам. А получается, что и за его пределами необходимо фаериться. Так ведь тут другой вопрос еще возникает - а на будущее, если, скажем, эта проблема встанет в рамках не квартирного компа, а какой-либо вполне конкретной организации?
К тому же, вопрос изначальный остается открытым - я не скачивал, стало быть, скачать могли с меня. Неужто такие объемы "обратного" трафика сгенерялись?!?!
Offline
