Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Огромный траф с DNS-сервера провайдера (http://forum.oszone.net/showthread.php?t=88920)

Aleks121 21-08-2007 11:42 630662

Огромный траф с DNS-сервера провайдера
 
Уважаемые специалисты, у меня вот такой вопрос:
Из-за чего и/или почему может быть такой огромный (более 1 Гига) трафик с DNS-сервера провайдера за один день? И, как Вы считаете, должна ли наша компания оплачивать этот трафик?

Немного дополнения к вопросу:
фаервол стоит - Lan2net;
антивирь - Nod32, базы обновляются ежедневно;
траф такой был только один день, со шлюза, на котором никто в этот день не работал;
на следующий день прогнал Ad-Aware SE, AVZ4 - ничего не выявил;
проверился Pand-ой в онлайне.

Звонил провайдеру, говорят, что б писали притензию на имя генерального - будут рассматривать. ИТ специалисты провайдера говорят, что это вирус на нашем компе, но у нас-то был входящий, а у них исходящий трафик.

Вообщем жду Ваших соображений по этому поводу...

Greyman 21-08-2007 22:44 630998

Действительно очень похоже на работу червя, либо попытку DOS-атаки... Если вспомнишь чем является DNS, то думаю и сам поймешь, окуда мог взятся входящий трафик... - в ответ на DNS-запросы с твоего шлюза... Хотя при этом и исходящий к DNS д/б примерно того же порядка (меньше, но не во много раз). Еще мог быть глюк (в т. ч. и специально вызванный) с DNS-клиентом на шлюзе, когда резолв на запрос не воспринимается и DNS пытается его отправлять несколько раз, в этом случае трафик резолвов может быть на несколько порядков больше, чем запросов. Без анализа журналов сетевого трафика точно уже не скажешь. провайдер может анализировать свои, но ему в падлу корячется, поэтому и требуют письмо. ты можешь сам анализировать свои..., если они конечно ведйтся. У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?

Aleks121 22-08-2007 11:51 631244

Цитата:

У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?
Lan2net и логи ведет, и траф весь считает и т.п.. А в логах было видно (почему "было"? - потому что речь идет о месячной давности) размеры полученных и передаваемых данных, время и IP назначения. Сопоставив размер предпологаемого полученного файла (поиском выявлял) это, как ни странно, оказался лог-файл Lan2net - "connection.log", который передавался в течение дня несколько раз. Смысл этого для меня вообще не понятен.
Вопрос все-таки следующий остается - как убедить провайдера, что мы не причастны к этому трафику и тем самым платить за него не имеем желания. Можно ли это как-то доказать?

Greyman 23-08-2007 00:03 631687

Цитата:

Цитата Aleks121
размеры полученных и передаваемых данных, время и IP назначения.

А порты и IP отправителя? Без портов не определишся в чем суть...

Цитата:

Цитата Aleks121
Сопоставив размер предпологаемого полученного файла (поиском выявлял) это, как ни странно, оказался лог-файл Lan2net - "connection.log", который передавался в течение дня несколько раз. Смысл этого для меня вообще не понятен.

Ты перепутал причину и следствие. Журнал сохраняет инфу о соединениях, соответственно он увеличивается пропорционально соединениям. Т. ч. никуда он не передавался. А вот тип соединений, порождавших трафик, можно было бы узнать как раз из самого лога..., если там есть нужные данные конечно...

Aleks121 23-08-2007 13:23 631909

На сей момент лог именно того трафика не сохранился в связи с переустановкой программы Lan2net. И я прекрасно понимаю, что журнал увеличивался записывая все новые соединения.
На скриншоте видны вкладки с надписями "Получено", "Отправлено", в которых, на тот момент, были показаны размеры переданной и полученной информации на IP DNS-сервера в Мб. Я не думаю, что запись сделана, а передачи небыло.

kim-aa 23-08-2007 13:30 631917

Aleks121,
Компьютер, который потреблял данный трафик, часом не контроллер домена или схемы?

Aleks121 23-08-2007 14:12 631956

Просто шлюз в сети. Обычная рабочая машинка.

kim-aa 23-08-2007 14:48 631980

Aleks121,
DNS-сервера от MS (на контролерах домена) любят телать такую "подлянку", пытаясь опрашивать все корневые сервера.

Проверьте по логам, какие именно сервера опрашивала Ваша машина.

Aleks121 23-08-2007 16:04 632025

kim-aa,
трафик (большой) шел конкретно на DNS провайдера и с него. А на счет опроса серверов я не смогу сказать, т.к. я переустановил Lan2net, который логировал соединения, в этот же день, и лог теперь я смогу просмотреть с момента переустановки.
Я думаю, что доказать провайдеру будет что либо трудно, и поэтому прийдется уповать, так сказать, на его благосклонность. Но письмо-притензию все-таки напишу. Правда еще незнаю как конкретно сформулировать.

Greyman 23-08-2007 23:35 632239

Цитата:

Цитата Aleks121
трафик (большой) шел конкретно на DNS провайдера и с него. >>>

Да в том то и дело, что как раз в этом никакого криминала и нет. если твой сервак генерил DND-запросы, то и DNS отвечал DNS-реквестами. А вот какого фига твой сервак разухарился - ХЗ... Лично мое ИМХО, что пров тут не при чем и непричастность к генерации трафика ты не докажешь. Зря машину переставил, теперь никаких логов нет, т. ч. даже сам для себя на будущее не сможешь причину найти...


Время: 09:04.

Время: 09:04.
© OSzone.net 2001-