» Несанкционированный трафик и провайдеры ...

neperap
Да от отношения прова к делу много чего зависит.



Цитата:

1 день будет что-то около 100 гиг.

Чё-то типо того и выходит (`80-100 за день, но я считаю оба типа), токо у меня 10 мегабит на оптике. Но потому месяца за три и храню - места больше не остаётся. Но этого мне и достаточно - однако при той сумме, что мы отваливаем за инет в месяц - наш пров может выделить с десяток гигов на одном из своих дисков. А логов с домашки - там весь трафик около 300 метров в месяц, пару килобайт мона и вести (не все же tcpdump сохраняют, да я собсно и не агитирую).

alexxxss
Хранить 3 терабайта???
Это как минимум 15 винтов *только для 1 клиента*
танунах

neperap

Цитата:

(не все же tcpdump сохраняют, да я собсно и не агитирую).

neperap
Если клиент того стОит- будешь, будешь....
Как показывает практика- статистику нужно хранить 1 месяц (на случай разборок). Да и подходы разные у крупных провайдеров и мелких, которые работают непосредственно с конечным потребителем. И чтобы он платил деньги, его надо уважать, любить, холить, лелеять и вообще не травмировать его психику. Еще я думаю, что дампить трафик (даже просто список адресов) и хранить его можно только при заключении дополнительного соглашения. Это должно быть во-первых добровольно, во-вторых небесплатно(но не дорого).

Я думаю, что можно подвести некоторое резюме: надо уметь договариваться. Рыльце в пуху не только у абонентов, но и у провайдеров тоже. Поэтому хотелось бы услышать рекомендации технического плана:
1. Как своевременно оповестить абонента, что у него не все в порядке?
2. Как помочь в решении таких проблем вплоть до создания специального файрвола?

finist
Хранить статистику больше месяца надо -- эт факт.
Но не в таком виде

1) как оповестить клиента? Смутно могу себе это представить.
Не в угадайки же играем. Нет, правда.
2) Эта проблема *для клиента* решается *на уровне провайдера*.
В какой форме это подать -- это зависит от взаимоотношений с провайдером.
Письмо иль звонок в саппорт -- id depends

Интересная тема, тем более для меня очень актуальная была в свое время.
Хочу рассказать по этому поводу две истории.
1. Работал человек Х админом и сидел на выделенке. В один прекрасный день раздался звонок от провайдера. Звонивший человек угрожал отключением и разрывом договора так как по его словам данная контора занималась рассылкой спама. Админ посмотрел статистику использования инета обнаружил, что по его статистике он скачал месячную норму, а по статистике провайдера он ее перевыполнил на 1.2 ГБ не известно куда ушедшего. Разборки были очень долгие и болезненные обе стороны выставляли обоюдные претензии на уровне начальства, грозили судом, админа хотели уволить и еще сильно наказать ( к сожалению, на тот момент он плохо технически подкован и не имел решающих аргументов в свою пользу). Спас ситуацию случай + абсолютно случайный сотрудник провайдера. После этого инцендента админ стал в конце рабочего дня выключать свой сервер. А случайный сотрудник(сапортер) заметил интересную вещь, что вечером клиентская машина, то есть сервер этой маленькой конторы(админа) не пингуется, а пакеты по статистике прова куда-то идут. Оказалось, что сломали прова и пересылали пакеты, через интерфейс, к которому и была подключена выделенка данного абонента. пров естественно считал на своем интерфейсе трафик и видел одни цифры, а клиент(админ) считал на своем интерфейсе другие. Провайдер к его чести извинился, и закрыл дыру у себя. Контора и по сей день с ними работает и админ все там же сидит.
2. Работал человек У админом в конторе. Я не знаю с кем он поругался, но не доброжелатели решили его сломать. В результате они открыли relay и слали через него почту, а также SYN запросами нагоняли трафик. Вскрылось это точно таким же способом, как и в 1 случае. Сервер был выключен, а пакеты на него шли. После переговоров с провом было принято решение, на основе статистике прова!!!!! Что контора оплачивает, тот половину не санкционированного трафика. Половину ИМЕННО по тому, что когда, клиенская машина выключена. не санкционированный трафик становится проблемой провайдера и он тоже должен следить за своей безопасностью. Админа наказать материально, но не более. Так как он прозевал у себя на сервере открытый релей, и не следил за безопасностью своего сервера.
Все это имело место быть, при моем участии в стольном граде Киеве.
Из этих всех историй и приключений я вынес пару вещей.
1. статистику надо считать у себя и как можно лучше.(желательно ежедневную)
2. она должна обязательно совпадать со статистикой провайдера. И все равно тогда что и как кто считает. Как только расхождение более 5 процентов надо быть тревогу, а не ждать пока гром грянет
3. Я предпочитаю, наладить личный контакт, с сапортом провайдера, перед заключением договора, так от них очень многое зависит. Если это мне не удается, это серьезный аргумент, для того что-бы не заключать договор с этим провайдером. Они так же должны быть заинтересованы в нормальном сотрудничестве.
4. Следить и еще раз следить за безопасностью своих серверов. Проверить наличие открытых relay. Просканировать себя со стороны, а не с локалки и т.д.

yarasha

Цитата:

не санкционированный трафик становится проблемой провайдера

Да не провайдера это проблема, не провайдера!!!
Если провайдер пошел на уступки, то потому, что ничего человеческое не чуждо.

А вообще, интересно насколько это распространенная практика -- платить за трафик? И какая в этом выгода для обоих сторон? Вот у меня, к примеру, есть канал определенной гарантированной толщины и определенная фиксированная плата за этот канал. И не важно, прошли 100 гиг через него или 1 байт за месяц, сумма не меняется. А также я знаю, что этот канал загружен не менее, чем на 75% постоянно, т.е. я имею именно ту толщину, которая мне и нужна. И я, собственно, всем доволен. С провайдером отношения просто прекрасные. Вот я и думаю, а что заставляет народ вестись на весь этот гимор с трафиком? Ведь при таком раскладе о гарантированной пропускной способности даже речи идти не может -- провайдер заинтересован уплотнить канал по максимуму, чтобы срубить больше бабла. Так нафик это все? Выхода другого нет?

ooptimum
Безлимитный вариант удобен всем, тут тяжело поспорить.
Только вот он обычно ой как много стОит...
Я конечно же имею ввиду у нас.

yarasha
то, что ты написал - просто высший Класс!
(ибо на 1й странице я изложил такую же траблу, что и в твоих примерах).
Отсюда ворпосы:
1. Как вырубить этот долбанный релей?
2. Как отсканить свою тачку со стороны?
Все эти азговоры, про то кто виноват и кто платит - фигня. Траффик от этого не уменьшится.

Цитата:

Да не провайдера это проблема, не провайдера!!!

И провайдера тоже. Я думаю, что ни один из присутсвующих не захочет иметь дело с провайдером, который во-первых взломан кем-то. Во-вторых не умеет или не может считать трафик(считай свои деньги), а так же его ограничивать и регламентировать. В третих я думаю такие провы долго не живут.


Цитата:

1. Как вырубить этот долбанный релей?
2. Как отсканить свою тачку со стороны?

Я думаю, что это больше вопрос в андеграунд. Из того что я могу посоветовать RTFM и еще раз RTFM, без этого к сожалению никак. Если в кратце. То по превому пункту смотря в зависимости от аппаратного и программного обеспечения. Порверяешь банально просто пробуешь с любого другого сервера отравить через себя почту.
ПО второму. Заходишь в инет через что угодно, диалап или выделенку соседа, или просто используешь shell дрогого сервера и сканишь любыми сканерами. описание сканеров ты также можешь найти на Руборде. Я пользуюсь nmap или xSpider или Nessus

yarasha
Я говорю про ситуацию "клиент взломан"
Если траффик генерится по вине провайдера -- базара нет, это вина *только* провайдера.

Я вот тут почитал почитал.. и думаю...
Есть фишка на FreeBSD насколько я знаю... настраивается файрвол который делает следующее:
клиент пишет http://yandex.ru файрволл добавляет динамическое правило allow from client to yandex.ru у этого правила есть срок жизни... клиент ушел с яндекса.. правило удалилось... входящие запросы к клиенту по идее проходить не должны.... пишется примерно так:
ipfw add allow all from client to any keep-state вот этот самый keep-state и делает динамические правила... или я неправильно курил маны??
Я понимаю что топик почти не об этом.. но ИМХО если с умом делать то можно избавить своих клиентов от нежелательного траффика, было бы желание.
А по поводу правила для фарывола.. если кто знает жду с письмом на пм. или в отдельный топик.

Zmey
Ты говоришь про исходящий траффик.
А входящий?
Плюс к этому, пойдет хаксор с твоей тачки на ввв.мувиз.ком/мегакино.ави
Правило в фаерволе откроется.
Скачается кино.
Правило закроется.
И что?

neperap
Вероятно я неправильно немного расписал прелести этого правила...
Правило которое создается разрешает движение траффика в обе стороны.
т.е. когда чел пытается соединиться с определенным ресурсом, создается диманическое правило, котрое разрешает траффик между двумя точками первая точка это клиент вторая точка это ресурс. Таким образом любой кто будет пытаться соединиться с клиентом, получит отлуп. Если по простому то выглядит так.... я как клиент могу пинговать ресурс... но ресурс (пока я его не поппингую) меня пинговать не может.

Zmey
Это, конечно, вариант, но (поверь) ты столкнешься с большим геморроем.
Аргументирую.
Зачастую один и тот же домен висит на разных IP.
Как пример -- login.icq.com
IP'шников у него несколько.
У тебя ушел запрос на один адрес, ответ пришел с другого -- начались проблемы.
Это раз.
Два -- опять же совершенно текущая ситуация, работает прям сейчас и лично со мной
Есть домен.
Светится во внешний мир как www.чего-то-там.сom
На нем стоИт apache + mod_jk, который коннектит апачу с tomcat'ом.
Рядом с серваком стоЯт еще наши машины.
На них тоже стоят tomcat'ы.
И между ними же Load Balancing.
Клиент заходит на сайт, ему через activeX устанавливается софтинка, которая вешается на определенный порт и ждет сигнала.
Apache передает управление на наименее загруженный хост, а этот хост начинает стучаться к клиенту, втыкается в ActiveX и все начинает работать.

При твоей схеме наш сервак просто не достучится к клиенту.
В общем схема интересная (я про интеллектуальный firewall), но сложностей с ней может возникнуть очень много...
Вот

Zmey

Цитата:

но ресурс (пока я его не поппингую) меня пинговать не может.

Маны ты куришь правильно. Ты неправильно куришь RFC. Пинговать тебя может кто угодно и когда угодно. Неважно, отвечаешь ты на эти пинги или нет -- пакеты к тебе идут в любом случае, даже если ты свой кабель интернетовский съешь, а сервер забетонируешь в стену. Неважно, что они не доходят. Они идут, и этого достаточно прову, чтобы включить счетчик.

ooptimum
А-а-а-а!!!!
Великий человек!
Дождался наконец-то!!

Цитата:

акеты к тебе идут в любом случае, даже если ты свой кабель интернетовский съешь, а сервер забетонируешь в стену. Неважно, что они не доходят. Они идут, и этого достаточно прову, чтобы включить счетчик.

Спасибо дорогой
Хоть кто-то понимает, про что речь идет

ooptimum
Хех.... ну блин... хоть я и маленький и не совсем грамотный... но.
У меня на сервере.. сделано так:
1 сетевуха смотрит в мир
2 сетевуха смотрит в мою сеть
траффик считается на 2-й сетевухе...
icmp пакет (к примеру) прийдя на 1-ую сетевуху попадает под файрвол и отсекается, в итоге траффик не засчитан т.к. не прошел через 2-ю сетевуху


neperap
Тут вот в чем фишка, прежде чем прописать подобные правила некоторым из своих клиентов я попробовал на себе аська работает нормально, веб, фтп и тп. тоже работает нормально. Я не совсем правда понимаю как работает файрволл в данной ситуации, но знаю одно что он избавляет лично меня от многих гиморных ситуаций. А вот почему все это работает и как это работает, нужно спрашивать у тех кто уже выкурил маны и РФЦ на эту тему
ps. Больше спорить не буду... а то мы все дальше и дальше уходим от темы

Zmey

Цитата:

Хех.... ну блин...

Хм. Так ты про провайдера... Ну, таки да, тогда работать должно. Я почему-то решил, что ты это на клиентском шлюзе решил громоздить. Только я думаю, что это зачастую не в интересах провайдера делать такое. Во-первых, он теряет бабло, которое, в принципе, можно и не терять. Во-вторых, если он сам за трафик платит, то бабло он теряет уже не виртуальное, а реальное, т.к. сам он эти пакеты уже проплатил, а до клиента не доставил -- SUXX. А в-третьих, это лишний гимор, который может выйти боком, ибо инициатива наказуема и т.д. Если у клиента есть реальный IP адрес, то рано или поздно он захочет поставить какой-никакой сервис, почту свою, веб, фтп и т.д. А дайалапщикам действительно можно давать адреса 192.168.x.y, но в этом случае и твоего трюка не надо. О! Квинтэссенция родилась... Нафига давать челу реальный адрес, если с ним нельзя соедениться? Это тот же NAT, только через Попенгаген. Да еще и ценный адрес растрачен попусту фактически.

ooptimum

Цитата:

то рано или поздно он захочет поставить какой-никакой сервис, почту свою, веб, фтп и т.д

Это тоже учтено... создается правило которое разрешает входящие пакеты к клиенту на определенный порт на котором будет висеть сервис, а так как перед этим мы разрешили создавать динамические правила для исходящего траафика, все будет работать по схеме:
1. Пришел запрос на разрешенный порт.
2. Создали правило на траффик от нас к тому кто обратился на этот порт.
3. Отправили ему нужную инфу.
4. Удалили динамическое правило.



Цитата:

Во-первых, он теряет бабло, которое, в принципе, можно и не терять.

Согласен.. только если провайдер не позаботиться о своих клиентах, то он всеравно будет терять бабло в виде уходящих от него клиентов. Вообще тема очень спорная и кто должен платить за сабж. я думаю можно решить добавлением определенного пункта в договор с провайдером. Так мол и так... за траффик который мы не просили мы платить не должны. Или наоборот, клиент обязан оплачивать весь траффик который к нему пытается попасть грубо но где-то рядом.

Фишка в том, что сам провайдер то все равно платит за этот траффик вышестоящему провайдеру... кто то должен оплачивать несовершенность протокола TCP.

К чему пришли?
К тому, что с провайдером надо договариваться.
И такие вопросы надо обсуждать.
И если обе стороны нормальные, относятся друг к другу с уважением -- наверняка будет консенсус

ooptimum

Цитата:

А вообще, интересно насколько это распространенная практика -- платить за трафик?

Вообще достаточно распространенная...
Многие подключаются по каналам 1 - 100 мегабит... и если на таком канале будет анлим, то провайдеру станет плохо... А так человек получает очень быстрый канал, но может по нему получить определенное количество услуги...

Цитата:

Я говорю про ситуацию "клиент взломан"
Если траффик генерится по вине провайдера -- базара нет, это вина *только* провайдера.

А я говорю, про ситуацию, когда ни кто не взломан. посто какой-то не доброжелатель закидует твой хост пакетами (SYN запрос, DNS запрос, ping -s и т.д). пол беды когда он один, а когда их много и они на широких каналах. Кто должен это регламентировать и оплачивать этот трафик??????????????????? Пусть у меня на фаерволе он дропнулся, но ведь он дошел, и счетчик у прова счелкнул. А ситуация когда у меня хост просто выключен???? Честно сказать я сам толком не знаю решение этой проблемы. Хорошо если быстро с реагировали. А если нет??? У нас в Киеве, анлим практикуется редко, по причине его доровизны, да и нет необходимости. Загрузка каналов на которых я работал приблизительно доходила до 50%. Вот и получается ситуация что на ровном месте можно попасть в такие бабки, что и не снилось.

yarasha
Я }{*ею, дорогая редакция...
Перечитай plz еще разок все, что было написано выше.
Сервис был?
Был.
Значит должен быть оплачен.
Видишь проблему -- дуй к провайдеру, и решайте проблему вместе.
Что тут непонятного?

Цитата:

Я }{*ею, дорогая редакция...
Перечитай plz еще разок все, что было написано выше.
Сервис был?
Был.
Значит должен быть оплачен.

оплачен кем??? Мной и моей конторой. это в честь чего такой праздник? какой сервис?? У меня хост мог быть вообще выключен. А если пров пересылает всякую херню, то это его забота, а не моя. Пусть у себя фильтрует трафик, я тут при чем??

Привет всем. Давно не постил сообщения. Предлагаю опуститься на бытовой уровень:

Ситуация: приходит на предприятие счет за услуги передачи данных (нефиговый такой). Смотрит на него главбух и ничего не понимает. Зовет она лицо ответсвенное, а тот в свою очередь сисадмина.
- За какие такие услуги мы должны платать деньги?- говорит гл.бух.
- За интернет,- говорит ответственное лицо.
- А почему так много?
- Да вот так получилось,- говорит сисадмин.
- А какого ... нам выставили счета за выходные!, - изумляется гл. бух. и зовет другое ответственное лицо- зам по кадрам и безопасности.
Приходит зам по безопасности и спрашивает админа:
- А почему такая фигня?
- А потому что у нас есть недоброжелатели, они закидывают нас пакетами, а мы по понятиям провайдера должны это оплатить,- лепечет сисадмин.
- О! Для меня работа,- говорит зам. по безопасности.
- Я оплачивать этот счет не буду,- говорит гл.бух., - нет оснований для платежа. Своей ж..ой рисковать не хочу.
- Ты мне за все ответишь,- говорит зам по безопасности админу.
- Э... надо бы не так круто,- говорит лицо ответственное, жалея админа,- давайте по понятиям.
- Я тебе покажу понятия!- грозит зам. по безопасности
- Дебилы вы,- говорит гл.бух.- На то я и гл.бух., чтобы на такое количество идиотов была я- сама умная! (зовет юриста)
- Ты договор подписывал? - спрашивает гл.бух. юриста
- Да. Это был типовой договор провайдера.
- Есть ли там пункты, в которых заложен смысл, что если мы не работаем, то трафик нам все равно насчитают?
- Таких пунктов в договоре нет.
- Тогда я задерживаю платеж до выяснения вами всеми этой проблемы, - говорит очень занятый глав.бух и выгоняет всех из кабинета.
- Вам что-то впендюрили без вашего согласия, а вы про какие-то понятия.... - продолжает нестись из-за закрытой двери.

... Может кто-нибудь напишет продолжение под названием "Разборки в кабиненте директора провайдера"?

Резюме: кто получает деньги, тот и обосновывает платеж. Это было всегда.
Это проблемы провайдера, кому и за что ОН платит. Абонента интересует абонентский трафик и все.

finist
Читай выше, почему будет счет.
в 100 раз повторяю.
С такого-то адреса на такой-то пакет пришел?
Пришел.
Мы его приняли?
Приняли.
На ваш адрес зароутили?
Зароутили.
Что вы с ним сделали -- ни ипет.
И я, как провайдер, покажу тебе статистику.

А вот за это

Цитата:

- А потому что у нас есть недоброжелатели, они закидывают нас пакетами, а мы по понятиям провайдера должны это оплатить,- лепечет сисадмин.

надо админу в голову давать.
Зная о проблеме он не решил ее.

Я еще раз провожу аналогию с мобилой.
Если ты случайно позвонишь папуасам, ты все равно оплатишь счет.
Запрос на звонок был?
Был.
Провайдер мобильной связи своб работу выполнил?
Выполнил.
И снимет за это деньги.
И будет прав.

Народ, я прекрасно понимаю ситуацию клиента.
Никто не хочет платить за то, что не делал.
Посему говорю -- идите к провайдеру, решайте проблему вместе.
Если вам это простят/снизят цену + помогут в решении проблемы -- +1 к респекту к провайдеру.

Что еще не ясно?

Добавлено

Цитата:

Резюме: кто получает деньги, тот и обосновывает платеж. Это было всегда.

Согласен на 100%

Цитата:

Это проблемы провайдера, кому и за что ОН платит.

Согласен на 100%

Цитата:

Абонента интересует абонентский трафик и все.

Я покажу тебе твой траффик, так как логи у меня ведутся.

С таким же успехом ты можешь вычленять полезную информацию.
"Я прочитал 100 строчек текста, а на баннеры не смотрел. Не считайте мне их"

Понятно, о чем я?

1. Входящий звонок от папуасов я отклоню без проблем и за факт попытки установления связи со мной я не плачу, хоть это и нагружает сеть провайдера сотовой связи.
2. Насчет баннеров- тут все понятно. Вот мой запрос- вот в ответ пришел баннер. Не хотел бы, так не отправлял бы запрос.

Но все-таки опустимся на бытовой уровень- предприятие не оплачивает счет провайдера. Какими будут действия провайдера (кроме разрыва договора) чтобы доказать оплату незаказанного трафика?