[VKK]

Цитата TORNADOL:

12 метров лишнего трафика

Нет, это в любом случае не Билли (и не исходная тема этой дискуссии)

NetLimiter и Bandwidht Monitor не пользовался. У меня стоит Sygate Personal Firewall, но у меня ADSL Unlimited, так что трафиком интересуюсь только на предмет атак. Почему бы не позвонить вашему провайдеру? Пусть расшифруют статистику.
И обязательно поставьте фаервол - любой, но немедленно.

[TORNADOL]

Файрволл у меня стоит но все равно я немогу понять что накачивает лишний трафик..

[TORNADOL]

Файрволл Аутпост версии 2.6. Соединение у меня через РадиоЕзернет (тарелка на креше стоит, как точно называется не помню). В файлообменных сетях не участвую. Айпишник фиксированый. А откуда берется немогу понять...

[VKK]

TORNADOL- Ушли от исходной темы, но пока модератор молчит...
У вас два различных вопроса:
1. Весь ли трафик, регистрируемый провайдером, действительно приходит с/на вашей машины.
2. Весь ли трафик с вашей машины действительно инициирован вами и на вашу пользу.

1. На первый вопрос (очень грубо) можно ответить без всяких митеров. На значке соединения есть счетчик пакетов (отправлено/получено). Пока, кажется, еще никто не писал вирусов, подправляющих значения этого счетчика или заставляющих модем не мигать (?). Так что примем его с оговорками на веру. TCP/IP пакет max 1500 байт. Значит, суммарный трафик в метрах в конце сессии totalMeg = ((totalSent+totalReceived)*1500)/(1024*1024) Ошибка тут может быть от 0% до 50% в меньшую сторону, так как не учитываются размеры неполных пакетов и дейтаграмм UDP. В любом случае 100% перебор (как вы подозреваете) вы отловите. Если действительно получается 100% лишних, то немедленно идите разбираться к провайдеру.

2. Если трафик примерно совпадает со счетчиком, то надо проверить активность всех программ. Любой нормальный фаервол показывает сетевую активность всех процессов на компьютере (кто отправляет/получает, откуда/куда). Также можно сбросить настройки на "все процессы только по запросу". Тогда любая программа, прежде чем отправить хоть один байт, должна будет сначала спросить у вас.

3. Это не поможет, если вы уже подцепили spyware - они прячутся за трафик броузера. Прогоните систему через Spyware Doctor от PC Tools, душевная штучка.

4. С фиксированным IP вы можете оказаться под любительской DOS-подобной атакой. Есть такие сайты ("сделай вирус сам за 5 минут") и такие козлы, которых мало драли в детстве. Фаервол такие пакеты отбросит, но они все равно засчитаются в ваш входящий трафик (да и канал сужается). Если модем постоянно мигает "на вход", а лог забит блокированными пакетами, позвоните провайдеру. Им эта байда самим поперек горла, помогут.

Так вы либо найдете проблему, либо убедитесь, что все в порядке.

[Vadikan]

TORNADOL & VKK
Если вы желаете обсуждать отслеживание трафика, то я могу вынести дискуссию в отдельную тему.

[VKK]

Vadikan
Вообще-то наболевшей темой является что-нибудь типа "Скрытый трафик Windows XP: правда и домыслы". Этот трафик действительно есть, действительно не всегда желателен (но иногда обязателен). У народа про него ходят самые страшные слухи на тему "Большой Брат видит тебя". Можно было бы устроить групповую терапию + обмен знаниями.

[TORNADOL]

1. Ну судя по тому что у меня фиксированый айпишник значит трафик действительно инициированый моей машиной, так как статистика показывается по айпишнику.
2. А вот на счет трафика инициированого моей машиной или мной в мою пользу, я в этом сильно сомневаюсь.
Ситуация следующая. Я работаю администратором в инет-кафе. К моему админскому компьютеру подключено 25 машин клиентских, которые через программу учета трафика и времени (NetLock) ходят в интернет. Эта прогркамма считает в метрах и еще немного брешет, так как NetLimiter показывает что она получила трафика больше чем пишет в отчете. Но не на столько больше чтоб вышла разница между показаниями сервера провайдера и моими подсчетами.
Касательно ответа на вопрос 1: я пока не совсем разобрался как этот трафик считается. Приведу реальный пример: на сервере провайдера я вижу что я за сегодня получил из сети 138914 кб (исходящий трафик мне не считается), следовательно я должен эти 138914 разделить на 1024 и получить 135,85. Правильно?
Касательно ответа на вопрос 2: могут ли недобросовестные программы маскироватся под трафик других программ?
Касательно ответа на вопрос 3: скачаем данные утилиты и будем проверять. Спасибо за совет.
Касательно ответа на вопрос 4: Я неоднократно замечал такие выходки неизвестных. Особенно вечером файрволл начинает разрыватся. Сканирование портов происходит очень часто. Я как то решил проверить как реагирует файрволл на сканирование портов. Поставил на клиентской машине сканер портов и запустил чтоб он просканировал айпишник админской машины. Файрволл высветил что сканируются порты и айпишник кто сканирует и забанил меня на 5 минут, да так что я потерял связь с ФТП сервером находящемся на админской машине. Следовательно так же он и поступит со всеми.?

[VKK]

Цитата:

я должен эти 138914 разделить на 1024 и получить 135,85. Правильно?

Ну, математика в порядке Так а сколько получается в этой же ситуации по вашим замерам?

Цитата:

2: могут ли недобросовестные программы маскироватся под трафик других программ?

Да. Почти все SpyWare, например, прячутся за трафик броузера. Но главная задача любой SpyWare остаться незамеченной, не привлекать внимания как можно дольше. Поэтому 100%(?) перерасход трафика они вряд ли будут делать. Хотя с 25 машин может набежать...

Про фаервол: главное, чтоб он умел отбивать псевдо-системные запросы. Прозвон портов чуять - дело нехитрое, то-то развелось всяких фаерволов, как MP3 проигрывателей. А вот делать стойку на "системные" запросы - тут опыт и знания нужны.
Я вам советую сходить на Sygate'овскую проверялку Она сэмитирует все известные атаки на порты (заражать, конечно, не будет ). У вас должна получится страница с двумя сообщениями: "Unable to determine your computer name!" и "Unable to detect any running services!". Если так, то все в порядке. Если ей удастся войти в систему хоть через один сервисный порт, то у вас потенциально БОЛЬШИЕ проблемы.

[McDAK]

VKK
Гы. Решил протеститься по приведенной ссылке. Дык похоже этот сервис набросился не на мою машину, а на сервер прова У меня выделенка с доступом через VPN, судя по тому, что он смог определить, то он поимел именно сервер прова, а до моей машины не добрался, может мне и файервол тогда не нужен?