» Исходящий трафик в 5 раз больше реального

Притащили тут ноут...
Отмыливаю файл в 200кБ (чем - не имеет значения - Bat, Outlook, консольный Blat - результат тот же).
Соединение - диалап через встроенный модем HDAUDIO SoftV92 Data Fax Modem. Стабильно соединяется с ROL на скорости 42,4 кбит/сек.
Смотрю трафик через свойства подключения - отправлено более 1Мб!
Поставил BWMeter - результат аналогичный.
Троян завелся?
Windows Vista Home Premium, последний NIS со свежими, ежедневно обновляемыми, базами.
Не верю никому. Смотрю netstat и не вижу никаких активных внешних подключений кроме моего майлера.
Проверку исходящей почты в NIS отрубил, протокол TCP/IPv6 и планировщик пакетов QoS из свойств соединения убрал - ничего не помогает
Владелец ноута утверждает что раньше такой проблемы у него не было.
Что может быть??? Всю башку сломал

mozers

Цитата:

Смотрю трафик через свойства подключения - отправлено более 1Мб!

ну так посмотреть в нисе какое приложение и сколько отправляет.
тем более не уверен, что модем показывает чистую информацию, без служебной.

mozers
Не мыль ничего, просто подключи и пусть соединение висит. И наблюдай за траффиком.
Кроме NISа, стоит попробовать и другие. RootkitRevealer тоже лишним не будет.

Может трафик считается в мегабитах а не в мегабайтах? Тогда должна быть разница в восемь раз.

А в чем у тебя исходящая почта кодируется? Если в MIME (как это по дефолту делает бат), то размер письма может вырасти до 500К. Плюс неизвестны накладные расходы служебного трафика за сессию, если пользуешься сертификатами, то еще лишку добавится. и т.д.
Ни BWMeter ни встроенная статистика не отображают размер письма. Они отображат количество пролетевших через интерфейс байтов.
Не вижу повода для паники.

Вот могу сказать примерную статистику при скачивании(передачи) почты. На каждый 1 мб. приходится примерно 1,5 мб трафика. А если связь хреновая, то еще больше возрастает т.к. идут повторы передачи и приема.

Увы, но все ответы - мимо
1. НЕТ никаких активных внешних подключений кроме моего майлера.
2. Учитываю и потери на передачу служебной информации и MIME кодирование.
Это же письмо отправляю с другого компа (там WinХР, тот же диалап) - реально отправляется чуть-чуть побольше 200 kB.

Есть 2 предположения:
1. NIS даже в отключенном состоянии что то мудрит с трафиком, пересылая данные между своим перехватчиком и RAS адаптером, создавая лишний трафик (тут вопрос специалисту по NIS).
2. Vista каким то макаром умудряется создавать внешние соединения, которые не фиксируют программы диагностики (вообще маньякальная мысль).
3. Настройки параметров соединения (всякие там MTU, TLL) резко отличаются от параметров провайдера, поэтому модем вынужден передавать лишний трафик (в 5 раз больше??? - тоже идиотская мысль).

В общем, прошу подтвердить/опровергнуть мои предположения...

mozers
1. Очень просто проверить.
2. Нет.
3. Нет.

vu1tur
Цитата:

1. Очень просто проверить

Как ? (NIS сносить нельзя - Он лицензионный и дистрибутива нет. Пробовал остановить все его службы - стопарятся. Но в процессах висят несколько неубиваемых модулей.)

Извините, но немного отвлекусь:
Вначале у юсера не возникает никаких проблем с трафиком (поскольку он ничего о нем не знает).
Зачем он узнает что 1КБайт равен не 1000, а 1024 байт и впадает в шок.
Когда до него доходят сведения о MIME кодировании, служебных пакетах и прочей хрени то он вообще плюет на трафик и считает вполне нормальным, когда в инет от него уходит в полтора и более раза больше данных, чем он реально отправляет.
А ведь это - неправильно! Подсчитать реальный трафик вполне возможно.
И ситацию, которую изложил rodrigo f никак нельзя считать нормальной (если, конечно, он все правильно считает).
Реальный размер письма (включая заголовки и потери на кодирование) вполне можно узнать в том же TheBat!, открыв код письма по F9 и сохранив этот код в файл.
Сертификаты используются не слишком часто (самый известный пример @gmail.com) и размер их составляет не более 1-2 кБайт.
При ретрейнах связь просто обрывается (т.е. ничего не передается), а при восстановлении связи после ретрейна, посылаются несколько служебных пакетов (опять же мизерного размера).
В общем, учитывая ВСЕ служебные накладки, при самом хреновом качестве связи, через сетевой интерфейс будет проходить не более чем на 5% больше байт, чем реальный размер письма (тот, что сохранили по F9).
Если у вас внешний трафик превышает эту величину, то я бы посоветовал сначала заняться собственным компом...

Добавлено:
Отключил запуск всех служб Семантека.
Застопорил Windows Update и прочие подозрительные службы, которые могут повлиять на трафик.
В процессах - все чисто.
А с трафиком не фига ничего не изменилось
Может эта долбанутая Vista просто не умеет трафик считать? (а всякие там BWMeter берут инфу о проходящем трафике из ее недр? Хотя BWMeter свой драйвер ставит для перехвата трафика...)
Ваабще ниче не понимаю...

Подключил этот ноут к своему компу через витую пару.
У себя поднял SMTP сервер (Small HTTP Server - рекомендую!) и отправил с ноута на свой комп это же письмо.
В свойствах подключения - передано 210 Кбайт (т.е. всего на 10кБ больше реального!).
Налицо проблема с dialup подключением.
Видно оно что то дурит по страшному...

mozers
Ну возьми tcpdump/wireshark и проснифь полностью всю сессию. Там точно сможешь подсчитать траффик — чего, куда и в каком количестве.

PS: но такой накрутки траффика провайдером я ещё не встречал

mozers

Еще одно мое (идиотское) предположение по поводу виндов. Я в инете уже 3 года. Инет от сотовых операторов. Т.е. мой трафик - за мои же деньги. Тут я статистикой хочу поделится может и поможет вам для рождения идей. А имено: 2 года работал в инете через win98. Год работаю в ХР SP2. Отвечаю за свои слова. Трафик в ХР чуть ли не в два раза превышает трафик win98. При этом приложения с которыми работал в обоих виндах одни и те же. Рад бы и дальше работать в win98. Да поменял оператора на wellcom (CDMA). А дров для ХР нема.
Т.е. вывод. Согласно прогресси(токо не прогресса) vista должна кушать трафик еще больше...Ну это мои "рабоче-крестьянские" предположения...

vu1tur
Посмотрю, конечно (спасибо за наводку на инструмент, правда tcpdump распостраняется только в виде сырцов, которые еще компилить надо...) но не думаю что я обнаружу что то криминальное.
Пров (ROL) тут тоже не при чем, поскольку этот же файл с другого компа и через этого же провайдера отправляется нормально.
Имхо проблема - в модеме, встроенном в ноут, точнее - в его настройках, которые скрыты в реестре и непонятны простому смертному
Наверное надо ему какую нить строку инициализации забабахать. Ща ищу доки...

rodrigo f
Имхо, ты просто отчаялся найти решение и придумал успокаивающую теорию
Знаю точно: Ты - не одинок.

mozers
Skype стоит?

mozers

Цитата:

правда tcpdump распостраняется только в виде сырцов

ну, не совсем так. Есть windump. Но в любом случае, wireshark будет наглядней

Цитата:

Имхо проблема - в модеме, встроенном в ноут

вполне возможно, собсвтенно имея лог пакетов можно будет разобраться. Но не без поллитру, конечно,

Sergey Bazylev
Нет
vu1tur
Цитата:

Есть windump. Но в любом случае, wireshark будет наглядней

Спасибо за ссылку. Поставил windump но даже не врубился где этот лог можно будет увидеть... Разбираюсь... А wireshark, конечно, я не вытяну... (20МБ для меня - слишком сурово .


Добавлено:
vu1tur
Не фига этот winpcap не работает под Вистой, несмотря на обещания разработчиков Даже в списке драйверов его нет (не запущенного ни остановленного). А без него и windump никакой статистики не собирает
Ладно. Инструмент интересный, надо будет поизучать... Может как на работу выйду так и wireshark скачаю...

Вообще всегда мне было интересно как определить прогу, которая рвется в интернет? (Сейчас вот оставил галку в Свойствах интернет: Подключения - "Использовать при отсутствии подключения к сети", так при загрузке этой Висты она сразу хочет звонить до провайдера. И какой конкретно проге вдруг позарез понадобился интернет ??? и куда она там хочет ???
Конечно, если я ее пущу, то netstat покажет кто и куда лезет. А если - нет, то как узнать?

mozers

Цитата:

Поставил windump но даже не врубился где этот лог можно будет увидеть

Ну это почти тот же никсовый tcpdump, так что читай мануалы последнего.


Цитата:

Не фига этот winpcap не работает под Вистой

работает. Просто с dial-up адаптерами всегда были грабли. У wireshark, собственно, также могут быть, т.к. и он использует winpcap.


Цитата:

Конечно, если я ее пущу, то netstat покажет кто и куда лезет. А если - нет, то как узнать?

ну, на время можно и пустить. А смотреть удобней с помощью tcpview, собственно netstat и не показывает какой процесс лезет в отличии от. Вопрос в другом. Если это руткит, то он и от netstat, возможно, скроется. Если это повторные пересылки битых пакетов — ничего подозрительного netstat не покажет.

vu1tur
Цитата:

А смотреть удобней с помощью tcpview

Да... Праздники очень влияют на мою сообразительность...
И как я мог забыть об этой великолепной утилите Русиновича?!

Да и эксперемент, который только что проделал, мог бы давным давно провести:
Создал еще одно подключение - к другому провайдеру - и отправил файл через него.
Вместо реальных 200КБ отправилось 270! - совсем не плохо против прежнего мегабайта


Добавлено:
Не совсем понятен механизм с помощью которого эти козлы (я имею в виду ROL - Россия Он Лайн) накручивают трафик.

mozers

Цитата:

Не совсем понятен механизм с помощью которого эти козлы (я имею в виду ROL - Россия Он Лайн) накручивают трафик.

ну, ipfw add prob 0.25 allow tcp from [clients net] to any out

Но вообще маловероятно, скорее просто грабли со связью. Кстати, залочь максимальную скорость, на которой соединяется модем на более низком значении. Возможно тоже всё исправится

Насколько справедливы, встречающиеся в интернете, высказывания относительно освобождения канала, зарезервированного за сервисом QoS. Рекомендуется включение ограниченной резервируемой пропускной способности и установление значения-0. Якобы ХР на свои нужды тратит до 20% трафика. На самом деле это происходит таким образом? И следует ли производить эти настройки. У кого какие мнения?

errone
Механизм качества обслуживания (QoS) в Windows XP и его улучшения:
Цитата:

Ошибочные мнения о поддержке QoS в Windows XP
В некоторых публикациях и группах новостей заявлялось, что Windows XP всегда резервирует под нужды механизма QoS 20 % доступной полосы пропускания. Данное утверждение неверно. Сведения в разделе «Использование QoS на конечных компьютерах под управлением Windows XP» правильно описывают поведение компьютеров под управлением Windows XP.