[Greyman]

Действительно очень похоже на работу червя, либо попытку DOS-атаки... Если вспомнишь чем является DNS, то думаю и сам поймешь, окуда мог взятся входящий трафик... - в ответ на DNS-запросы с твоего шлюза... Хотя при этом и исходящий к DNS д/б примерно того же порядка (меньше, но не во много раз). Еще мог быть глюк (в т. ч. и специально вызванный) с DNS-клиентом на шлюзе, когда резолв на запрос не воспринимается и DNS пытается его отправлять несколько раз, в этом случае трафик резолвов может быть на несколько порядков больше, чем запросов. Без анализа журналов сетевого трафика точно уже не скажешь. провайдер может анализировать свои, но ему в падлу корячется, поэтому и требуют письмо. ты можешь сам анализировать свои..., если они конечно ведйтся. У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?

[Aleks121]

Цитата:

У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?

Lan2net и логи ведет, и траф весь считает и т.п.. А в логах было видно (почему "было"? - потому что речь идет о месячной давности) размеры полученных и передаваемых данных, время и IP назначения. Сопоставив размер предпологаемого полученного файла (поиском выявлял) это, как ни странно, оказался лог-файл Lan2net - "connection.log", который передавался в течение дня несколько раз. Смысл этого для меня вообще не понятен.
Вопрос все-таки следующий остается - как убедить провайдера, что мы не причастны к этому трафику и тем самым платить за него не имеем желания. Можно ли это как-то доказать?

[Greyman]

Цитата Aleks121:

размеры полученных и передаваемых данных, время и IP назначения.

А порты и IP отправителя? Без портов не определишся в чем суть...

Цитата Aleks121:

Сопоставив размер предпологаемого полученного файла (поиском выявлял) это, как ни странно, оказался лог-файл Lan2net - "connection.log", который передавался в течение дня несколько раз. Смысл этого для меня вообще не понятен.

Ты перепутал причину и следствие. Журнал сохраняет инфу о соединениях, соответственно он увеличивается пропорционально соединениям. Т. ч. никуда он не передавался. А вот тип соединений, порождавших трафик, можно было бы узнать как раз из самого лога..., если там есть нужные данные конечно...

[Aleks121]

На сей момент лог именно того трафика не сохранился в связи с переустановкой программы Lan2net. И я прекрасно понимаю, что журнал увеличивался записывая все новые соединения.
На скриншоте видны вкладки с надписями "Получено", "Отправлено", в которых, на тот момент, были показаны размеры переданной и полученной информации на IP DNS-сервера в Мб. Я не думаю, что запись сделана, а передачи небыло.

[kim-aa]

Aleks121,
Компьютер, который потреблял данный трафик, часом не контроллер домена или схемы?

[Aleks121]

Просто шлюз в сети. Обычная рабочая машинка.

[kim-aa]

Aleks121,
DNS-сервера от MS (на контролерах домена) любят телать такую "подлянку", пытаясь опрашивать все корневые сервера.

Проверьте по логам, какие именно сервера опрашивала Ваша машина.

[Aleks121]

kim-aa,
трафик (большой) шел конкретно на DNS провайдера и с него. А на счет опроса серверов я не смогу сказать, т.к. я переустановил Lan2net, который логировал соединения, в этот же день, и лог теперь я смогу просмотреть с момента переустановки.
Я думаю, что доказать провайдеру будет что либо трудно, и поэтому прийдется уповать, так сказать, на его благосклонность. Но письмо-притензию все-таки напишу. Правда еще незнаю как конкретно сформулировать.

[Greyman]

Цитата Aleks121:

трафик (большой) шел конкретно на DNS провайдера и с него. >>>

Да в том то и дело, что как раз в этом никакого криминала и нет. если твой сервак генерил DND-запросы, то и DNS отвечал DNS-реквестами. А вот какого фига твой сервак разухарился - ХЗ... Лично мое ИМХО, что пров тут не при чем и непричастность к генерации трафика ты не докажешь. Зря машину переставил, теперь никаких логов нет, т. ч. даже сам для себя на будущее не сможешь причину найти...