Огромный траф с DNS-сервера провайдера
Уважаемые специалисты, у меня вот такой вопрос:
Из-за чего и/или почему может быть такой огромный (более 1 Гига) трафик с DNS-сервера провайдера за один день? И, как Вы считаете, должна ли наша компания оплачивать этот трафик? Немного дополнения к вопросу: фаервол стоит - Lan2net; антивирь - Nod32, базы обновляются ежедневно; траф такой был только один день, со шлюза, на котором никто в этот день не работал; на следующий день прогнал Ad-Aware SE, AVZ4 - ничего не выявил; проверился Pand-ой в онлайне. Звонил провайдеру, говорят, что б писали притензию на имя генерального - будут рассматривать. ИТ специалисты провайдера говорят, что это вирус на нашем компе, но у нас-то был входящий, а у них исходящий трафик. Вообщем жду Ваших соображений по этому поводу... |
Действительно очень похоже на работу червя, либо попытку DOS-атаки... Если вспомнишь чем является DNS, то думаю и сам поймешь, окуда мог взятся входящий трафик... - в ответ на DNS-запросы с твоего шлюза... Хотя при этом и исходящий к DNS д/б примерно того же порядка (меньше, но не во много раз). Еще мог быть глюк (в т. ч. и специально вызванный) с DNS-клиентом на шлюзе, когда резолв на запрос не воспринимается и DNS пытается его отправлять несколько раз, в этом случае трафик резолвов может быть на несколько порядков больше, чем запросов. Без анализа журналов сетевого трафика точно уже не скажешь. провайдер может анализировать свои, но ему в падлу корячется, поэтому и требуют письмо. ты можешь сам анализировать свои..., если они конечно ведйтся. У тебя на шлюзе какой сетевой экран стоит, он ведет логи? Что по ним видно?
|
Цитата:
Вопрос все-таки следующий остается - как убедить провайдера, что мы не причастны к этому трафику и тем самым платить за него не имеем желания. Можно ли это как-то доказать? |
Цитата:
Цитата:
|
На сей момент лог именно того трафика не сохранился в связи с переустановкой программы Lan2net. И я прекрасно понимаю, что журнал увеличивался записывая все новые соединения.
На скриншоте видны вкладки с надписями "Получено", "Отправлено", в которых, на тот момент, были показаны размеры переданной и полученной информации на IP DNS-сервера в Мб. Я не думаю, что запись сделана, а передачи небыло. |
Aleks121,
Компьютер, который потреблял данный трафик, часом не контроллер домена или схемы? |
Просто шлюз в сети. Обычная рабочая машинка.
|
Aleks121,
DNS-сервера от MS (на контролерах домена) любят телать такую "подлянку", пытаясь опрашивать все корневые сервера. Проверьте по логам, какие именно сервера опрашивала Ваша машина. |
kim-aa,
трафик (большой) шел конкретно на DNS провайдера и с него. А на счет опроса серверов я не смогу сказать, т.к. я переустановил Lan2net, который логировал соединения, в этот же день, и лог теперь я смогу просмотреть с момента переустановки. Я думаю, что доказать провайдеру будет что либо трудно, и поэтому прийдется уповать, так сказать, на его благосклонность. Но письмо-притензию все-таки напишу. Правда еще незнаю как конкретно сформулировать. |
Цитата:
|
Время: 09:04. |
Время: 09:04.
© OSzone.net 2001-