провайдер.файрвол.перерасход траффа. спор

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)

- - провайдер.файрвол.перерасход траффа. спор (http://forum.oszone.net/showthread.php?t=152664)

провайдер.файрвол.перерасход траффа. спор

Вопрос. такая ситуация: на некую точку пришло очень много траффика. провайдер выставил крупный счёт. сказал что на точку была дос атака (???) точка защищена файрволом. который в рамках своей настройки данный траф пропустить не мог, т.е. он его отфутболивал . провайдер говорит: так как траффик доходил до вас, то нас не волнует футболил или нет и вы за него платите. т.е. по сути дела любой желающий может "поставить на бабки" ? подскажите имеет место такое быть ? была запрошена детализация, в которой толком ничего не пойму.

А что за имя у твоего провайдера. Случаем не "домру" :blush2: . По сути траффик учитывается, если он принят тобой. И еще не понятен момент про DDOS. Это тебе пров сказал или ты ему об этом?

нет, имя прова не такое :) вот я ищу правду в вопросе тарификации трафика. как система считает что он принят мной ? про dos или ddos сказали провы. я хоть и не спец в хакерских заморочках но представление имею о том и о другом , как оно повлияло на траффик не понятно. кроме того по моим подсчётам (на канале 1МБит, за сутки можно слить МАКСИМУМ примерно 10.8 Гб ) нам нарезали аж 22 Гб !!! причём по логам было всего несколько коротких сессий передачи пакетов с этого "атаковавшего IP" от нескольких секунд до нескольких минут !

Если не лень сбрось детализацию, глянем, тока ip атакующего оставь

foxbat,
Все нижесказанное - исключительно имхо, но подозреваю что все-таки я прав ;).
1. Независимо от наличия у вас фаервола и его настроек, трафик адресованный вам до вас доходит. При этом поступает он в вашу сеть или нет (отсекается фаерволом) - не важно, важен сам факт доставки этих данных до вашего оборудования, а он имеет место быть, так как иначе фаерволл просто не сможет их проанализировать.
2. Учет трафика происходит на оборудовании провайдера, а не на вашем оборудовании (имеется в виду цепочка "Глобальная сеть -> Оборудование провайдера -> Ваше оборудование").
В итоге получеаем, что если трафик был адресован вам и ваше оборудование в этот момент работало то трафик подлежит оплате.

Цитата:

Цитата Michael

Все нижесказанное - исключительно имхо, но подозреваю что все-таки я прав .
1. Независимо от наличия у вас фаервола и его настроек, трафик адресованный вам до вас доходит. При этом поступает он в вашу сеть или нет (отсекается фаерволом) - не важно, важен сам факт доставки этих данных до вашего оборудования, а он имеет место быть, так как иначе фаерволл просто не сможет их проанализировать.
2. Учет трафика происходит на оборудовании провайдера, а не на вашем оборудовании (имеется в виду цепочка "Глобальная сеть -> Оборудование провайдера -> Ваше оборудование").
В итоге получеаем, что если трафик был адресован вам и ваше оборудование в этот момент работало то трафик подлежит оплате »

Это все понятно, но вот как насчитали 22 gb траффа интересно глянуть. Или у foxbat скорости больше чем 1МБит/сек или ISP что-то врет, или атака имела место быть из внутренней сети прова, где скорости больше

Цитата:

Цитата Viper

Или у foxbat скорости больше чем 1МБит/сек или ISP что-то врет, или атака имела место быть из внутренней сети прова, где скорости больше »

22 Gb за одни сути с мегабитным каналом? Очень интересно....
А что, трафик из внутренней сети прова у вас тоже считается за Интернет-трафик?

Детализацию в студию

Цитата:

Цитата foxbat

защищена файрволом. который в рамках своей настройки данный траф пропустить не мог, »

Не так давно обсуждалась похожая проблема - http://forum.oszone.net/thread-147123.html
TCP-протокол требует установки сессии, посему при наличии файрволла передать можно только маленький пакет "запрос соединения" - всё остальное без подтверждения пересылаться не будет. Самими же "запросами" такое устроить проблематично, потому что подобная нагрузка тут же будет обнаружена и пресечена самим провайдером (его же оборудование не выдержит).
Зато работающий в одном направлении UDP-протокол установки сессии не требует, посему позволяет вести передачу на "закрытый" адрес. Более того, при подключении через "подсеть на статичных IP" передача происходит, даже когда сам компьютер (маршрутизатор) отключен - достаточно, чтобы работал "шлюз" провайдера.

Цитата:

Цитата foxbat

кроме того по моим подсчётам (на канале 1МБит, за сутки можно слить МАКСИМУМ примерно 10.8 Гб ) нам нарезали аж 22 Гб !!! »

Не знаю точно, можно ли по UDP передавать информацию быстрее, чем её принимает получатель - не проверял :)
Но с другой стороны, не знаю, будет ли он реагировать на ответвные сообщения вида "снизьте скорость" :(
Так что ситуацию, когда получаемый по высокоскоростной магистрали сигнал сначала считается оборудованием провайдера, а потом по узкому каналу (с потерями половины пакетов) отправляется абоненту, вполне допускаю.

Цитата:

Цитата foxbat

причём по логам было всего несколько коротких сессий передачи пакетов с этого "атаковавшего IP" от нескольких секунд до нескольких минут ! »

Возможно,*кто-то открывал сайт, который осуществляет трансляцию аудио/видео (что отразилось в логах), и вместо закрия сессии просто закрыл программу?

ИМХО
Если со слов провайдера была произведена DDoS атака, то необходимо вооружившись некими документами, договором об объязанностях, логами, как своими, так и детализацию от провайдера, посмотреть, а что должен был делать провайдер?
Если Он (провайдер) фиксирует DDoS атаку, почему он ей не помешал? Если 22Gb на 1Mb получить физически не возможно (не считал), то этот не хитрый математический расчет тоже не плохо бы предоставить на суд.
Если дело примет юридетический статус (решение проблемы через суд) то необходимо будет скорпулезно изучить договора, т.к. эта бумага официальная. Логи оно конечно да, но ...

Цитата:

Цитата Viper

как насчитали 22 gb траффа интересно глянуть »

согласен. ИМХО надо пинать прова с требованием предоставления расчетов

расшифровка из двух частей:

это первая часть (вырезка) - суммарный по IP, тот который "вредитель" 61.73.59.98:

Код:

60.44.183.206 = 96

60.48.34.217 = 96

60.49.112.113 = 96

60.49.234.149 = 100

61.130.248.212 = 382588630

61.17.45.116 = 156

61.189.16.37 = 244

61.217.194.14 = 96

61.73.59.98 = 21560227950

61.8.205.201 = 104

62.120.254.139 = 96

62.146.31.147 = 40

62.165.220.106 = 223542595

62.218.141.206 = 40

64.18.128.86 = 21730

вторая часть:
т.к. очень много записей вырезаю лишь три штуки те в которых фигурировал этот IP и одну другю для сравнения

Код:

Start             End               Sif   SrcIPaddress    SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets





0916.00:21:08.562 0916.00:26:35.018 5     61.73.59.98     60173 19    тут_мой_ИП   0     17  0  2380329    102354147 

0916.00:26:35.018 0916.00:31:37.378 5     61.73.59.98     60173 19    тут_мой_ИП  0     17  0  16097316   692184588 

0916.00:31:37.378 0916.00:36:44.630 5     61.73.59.98     60173 19    тут_мой_ИП   0     17  0  22934942   986202506 

0916.00:35:12.666 0916.00:35:15.702 5     77.51.57.125    1980  19    тут_мой_ИП   445   6   2  2          96

Цитата:

Цитата lxa85

Если Он (провайдер) фиксирует DDoS атаку, почему он ей не помешал? »

Цитата:

Цитата lxa85

изучить договор »

+256

Наеедте в ответ на провайдера

насколько я понял они эту атаку "зафиксировали" по логам уже после(разговор о атаке ддос вёл не я)

договор суховат..
2.6 При подсчёте объёма трафика учёту подлежат все IP-пакеты, принятые Исполнителем к отправке на выделенные Заказчику IP-адреса

про вирусы атаки и т.д. ничего не нашёл

видимо придется платить