[jentoso]

А что за имя у твоего провайдера. Случаем не "домру" . По сути траффик учитывается, если он принят тобой. И еще не понятен момент про DDOS. Это тебе пров сказал или ты ему об этом?

[foxbat]

нет, имя прова не такое вот я ищу правду в вопросе тарификации трафика. как система считает что он принят мной ? про dos или ddos сказали провы. я хоть и не спец в хакерских заморочках но представление имею о том и о другом , как оно повлияло на траффик не понятно. кроме того по моим подсчётам (на канале 1МБит, за сутки можно слить МАКСИМУМ примерно 10.8 Гб ) нам нарезали аж 22 Гб !!! причём по логам было всего несколько коротких сессий передачи пакетов с этого "атаковавшего IP" от нескольких секунд до нескольких минут !

[Viper]

Если не лень сбрось детализацию, глянем, тока ip атакующего оставь

[Michael]

foxbat,
Все нижесказанное - исключительно имхо, но подозреваю что все-таки я прав .
1. Независимо от наличия у вас фаервола и его настроек, трафик адресованный вам до вас доходит. При этом поступает он в вашу сеть или нет (отсекается фаерволом) - не важно, важен сам факт доставки этих данных до вашего оборудования, а он имеет место быть, так как иначе фаерволл просто не сможет их проанализировать.
2. Учет трафика происходит на оборудовании провайдера, а не на вашем оборудовании (имеется в виду цепочка "Глобальная сеть -> Оборудование провайдера -> Ваше оборудование").
В итоге получеаем, что если трафик был адресован вам и ваше оборудование в этот момент работало то трафик подлежит оплате.

[Viper]

Цитата Michael:

Все нижесказанное - исключительно имхо, но подозреваю что все-таки я прав . 1. Независимо от наличия у вас фаервола и его настроек, трафик адресованный вам до вас доходит. При этом поступает он в вашу сеть или нет (отсекается фаерволом) - не важно, важен сам факт доставки этих данных до вашего оборудования, а он имеет место быть, так как иначе фаерволл просто не сможет их проанализировать. 2. Учет трафика происходит на оборудовании провайдера, а не на вашем оборудовании (имеется в виду цепочка "Глобальная сеть -> Оборудование провайдера -> Ваше оборудование"). В итоге получеаем, что если трафик был адресован вам и ваше оборудование в этот момент работало то трафик подлежит оплате »

Это все понятно, но вот как насчитали 22 gb траффа интересно глянуть. Или у foxbat скорости больше чем 1МБит/сек или ISP что-то врет, или атака имела место быть из внутренней сети прова, где скорости больше

[Delirium]

Цитата Viper:

Или у foxbat скорости больше чем 1МБит/сек или ISP что-то врет, или атака имела место быть из внутренней сети прова, где скорости больше »

22 Gb за одни сути с мегабитным каналом? Очень интересно....
А что, трафик из внутренней сети прова у вас тоже считается за Интернет-трафик?

[Viper]

Детализацию в студию

[El Scorpio]

Цитата foxbat:

защищена файрволом. который в рамках своей настройки данный траф пропустить не мог, »

Не так давно обсуждалась похожая проблема - http://forum.oszone.net/thread-147123.html
TCP-протокол требует установки сессии, посему при наличии файрволла передать можно только маленький пакет "запрос соединения" - всё остальное без подтверждения пересылаться не будет. Самими же "запросами" такое устроить проблематично, потому что подобная нагрузка тут же будет обнаружена и пресечена самим провайдером (его же оборудование не выдержит).
Зато работающий в одном направлении UDP-протокол установки сессии не требует, посему позволяет вести передачу на "закрытый" адрес. Более того, при подключении через "подсеть на статичных IP" передача происходит, даже когда сам компьютер (маршрутизатор) отключен - достаточно, чтобы работал "шлюз" провайдера.

Цитата foxbat:

кроме того по моим подсчётам (на канале 1МБит, за сутки можно слить МАКСИМУМ примерно 10.8 Гб ) нам нарезали аж 22 Гб !!! »

Не знаю точно, можно ли по UDP передавать информацию быстрее, чем её принимает получатель - не проверял
Но с другой стороны, не знаю, будет ли он реагировать на ответвные сообщения вида "снизьте скорость"
Так что ситуацию, когда получаемый по высокоскоростной магистрали сигнал сначала считается оборудованием провайдера, а потом по узкому каналу (с потерями половины пакетов) отправляется абоненту, вполне допускаю.

Цитата foxbat:

причём по логам было всего несколько коротких сессий передачи пакетов с этого "атаковавшего IP" от нескольких секунд до нескольких минут ! »

Возможно,*кто-то открывал сайт, который осуществляет трансляцию аудио/видео (что отразилось в логах), и вместо закрия сессии просто закрыл программу?

[lxa85]

ИМХО
Если со слов провайдера была произведена DDoS атака, то необходимо вооружившись некими документами, договором об объязанностях, логами, как своими, так и детализацию от провайдера, посмотреть, а что должен был делать провайдер?
Если Он (провайдер) фиксирует DDoS атаку, почему он ей не помешал? Если 22Gb на 1Mb получить физически не возможно (не считал), то этот не хитрый математический расчет тоже не плохо бы предоставить на суд.
Если дело примет юридетический статус (решение проблемы через суд) то необходимо будет скорпулезно изучить договора, т.к. эта бумага официальная. Логи оно конечно да, но ...