» Несанкционированный трафик и провайдеры ...

finist

Цитата:

А если пакеты продолжают поступать, то это уже флуд, и это провайдер с состоянии отследить, если что.

Что значит "флуд" ?
Смею заметить, что отрицательный результат -- тоже результат.
Примеры полезности приводил выше.

Цитата:

Ты представляешь себе приложение к договору подобного вида? И сколько правил придется создавать для каждого клиента? А еще с вас за долгую кропотливую работу и объяснения как работает протокол ftp в активном режиме или IRC DCC будут деньги брать, а вы будете возмущаться....

Херня все это. Во-первых это работа провайдера+ он сам должен быть заинтересован в том, что-бы выше описанная ситуация не случилась. Во -вторых почему-то все забывают о том что провайдер тоже где-то (у кого-то) берет интернет только у него и DNS сервера должны быть общедоступны 24 часа в сутки и 25-порт у него должен быть открыт и relay для клиентов. И конткурентов у него по больше чем у Васи Пупкина сидящего дома на 64к да и каналы по более.

Цитата:

По поводу проблемы, когда выключен комп. Покажите мне любую программу или программно-аппаратный крмплекс (даже сертифицированый), который бы отслеживал доступность IP и если нет соединения не считал бы для этого IP трафик. Если не ошибаюсь есть руководящие документы для организаций, предоставляющих услуги передачи данных - если есть у кого - поделитесь, хоть почитать что там по этому поводу написано.

Покажи мне такого человека(контору) который откажется приписать себе пару 10-20 баксов в карман и статистику подправить в пользу себя любимого. А потом клиенту сказать-ДА ты ламер-вот тебя и лоханули! Еще и все свои грехи можно на него списать.
И еще самый распрастраненый пример это когда слышешь звон но не знаещь где он.
Расход в статистике с провайдером есть, но вот от куда он, одному богу известно.
Разговор выглядит примерно так.
Пров- С вас в этом месяце еще 50-100 или больше у.е.
Клиент -ЗА ЧТО???
Пров -За трафик??
Клиент- А можно статистику??
Пров (через какое-то время)- ДА вот она .
Клиент- От куда это все??? Здесь у меня в статистике расхождения, а здесь у меня вообще сервак был выключен в это время
Пров- А меня не е!"е№; плати за не совершенство TCP, за то что-ты ламер галимый, за то что тебя спамили какие-то хосты и за все остальное. А я в свою очередь ни за что не отвечаю.
И еще, интересует имено предвиденье и предовращение данных ситуаций. А не последствия и действия после драки. Тем более мы же заранее не знаем какой провайдер, хороший или плохой. Как сработается админ с сапортом. Как вариант я предложил оговаривать это в договоре.


Цитата:

так почему же нельзя включать блокировку удп на провайдере если количество превышает

Тоже вариант-возьму на вооружение. Причем добавил бы от себя. Не только UDP, а и всего остального.

yarasha

Цитата:

Покажи мне такого человека(контору) который откажется приписать себе пару 10-20 баксов в карман и статистику подправить в пользу себя любимого.

Тебе 50 раз сказали -- беги от таких людей.
Админ все равно эти деньги не увидит.
А если это поощряет дирекция -- обдерут тебя.
Моя не панимать, что тут неясного.

Цитата:

Тоже вариант-возьму на вооружение. Причем добавил бы от себя. Не только UDP, а и всего остального.

Адназначна.
И пусть у тебя в месяц будет 0 байтесов траффика ))
Гы-ы-ы-ы-ы.

Господа, я прошу прекратить флейм.
Думаю уже достаточно сказано о том, что TCP не предохраняется ни клиента, ни провайдера от "левого" трафика, а значит никто в этом кроме тех кто его генерирует не виноват.
Найти виновного удается не всегда.

Вопрос в следующем - что с этим делать?
Есть такое понятие как VPN о котором вскользь было упомянуто. Но как это работает и почему предохраняет от левого трафика никто не сказал.
Второе решение - файрвол на уровне провайдера, что впрочем проблем самого провайдера не решает, а даже добавляет (в связи с изменчивостью пожеланий клиента), но мы рассуждаем со стороны клиента.
Итак, кто же все таки может предложить что то новое по теме?
Или будем продолжать флеймить?

Цитата:

Или будем продолжать флеймить?

Будем флеймить, т.к. технические решения обсуждаются как-то тяжело )) Жара, наверное.

Почему-то никто не сказал, что мероприятия по защите клиента в таких ситуациях провайдеру НЕ ВЫГОДНЫ (т.к. он это трафик уже оплатил да и мероприятия эти небесплатны). Соотвественно этой работой он будет заниматься только если его:
а - заставить
б - оплатить работу.

по поводу "а" - заставить может только государство (через процедуры сертификации, надзора). Правда государству пока на эти проблемы по большому счету покласть. Тут только Китай преуспел
"б" - неплохой вариант, гораздо более реальный и безопасный, хоть и на любую старуху прорух хватает, т.е. это не гарантирует на 100% отсутствия этих ситуаций. Да и от наглости провайдеров, которые не могут взять на себя хоть каплю ответственности это тоже не спасет.

По поводу технических мер:
1. VPN - фигня (это я провоцирую уважаемую аудиторию). Т.е. получаешь белый IP, пакеты все равно считаются где-то на маршрутизаторе задолго до входа в защищенную сеть.
2. Серый адрес, или работа через NAT (Socks,http-proxy) - выход хороший, чтобы не говорили любители пофлеймить. А если нужны почта/веб - заказывай их у провайдера услуг (не важно какого).
3. Динамический IP. На одном ip-плохо- соединение сбросил- взял другой. От оплаты флуда должно помочь.
4. Использование соединений PPP (PPPoE, VPN тут же) по логике вещей обрубает маршрут, если машина выключена. Но из 6-ти страничного флейма я понял, что для провайдеров это не указ. Как считали, так и будут считать.

Вывод: Для средней конторы - пункт 2. Обойдется дешевле, чем грамотный админ, главным достоинством которого будет умение гавкаться с провом )))


Цитата:

Что значит "флуд" ?
Смею заметить, что отрицательный результат -- тоже результат.

Это в научных исследованиях отрицательный результат является результатом, а не в прикладных областях. Средства мониторинга, даже самые простые поток бесполезных
пакетов выцепят и известят админа. Я не очень опытный админ, но этими средствами пользуюсь и могу всегда сказать, откуда взялся трафик выше средней нормы.

Интересно узнать, как эту проблему решают между собой провайдеры?
Наверное никак - ибо все пытаются свалить на конечного пользователя...

finist

Цитата:

а - заставить
б - оплатить работу.

Добавлю -- договориться.
Обычно своих клиентов ценят и идут им навстречу.

Люди.
Ну если на вас болт забьют -- и вы болт забьете.
Клиентов обычно ценят, ага?
И на деньги *нормальный* пров выставлять не будет.
Репутация -- она того.
дОрого стОит.

neperap Рекомендация сменить "левого" прова тоже может дорого стоить. Так как кроме оплаты услуг прова, надо учитывать доп. затраты на организацию канала и т.п. В зависимости от конкретных условий эти расходы могут быть весьма велики. Тут уже придется выбирать что тебе дороже.

Цитата:

1. VPN - фигня (это я провоцирую уважаемую аудиторию). Т.е. получаешь белый IP, пакеты все равно считаются где-то на маршрутизаторе задолго до входа в защищенную сеть.

Полностью согласен. (Провакация не выша ) Во первых, как я уже выше сказано, пров считает у себя на интерфейсе и в таком случае VPN к клиенту просто не причем.
Во вторых это оганичивает в количестве сервисов. Хорошо если это домашний комп, а если это контора со своим DNS сервером, который по определению должен отвечать на DNS запросы + почта которая тоже должна быть доступна 24 часа в сутки + Веб-сайт. Конечно не которые скажут размещай это все у прова. А прову у кого это все размещать?????

Цитата:

"б" - неплохой вариант, гораздо более реальный и безопасный, хоть и на любую старуху прорух хватает, т.е. это не гарантирует на 100% отсутствия этих ситуаций. Да и от наглости провайдеров, которые не могут взять на себя хоть каплю ответственности это тоже не спасет.

Ага. Вот с этим сталкиваюсь повсеместно. На правах антирекламы могу даже назвать имена контор и провайдеров. Лично я слышал уже не единожды.
Вариант №1 Походит сапортер и дополнительно помимо того что все оплаченно его конторе требует на лапу еще и себе иначе все будет очень плохо работать и у вас будут проблемы. На утверждение а мы с вами договор разорвем отвечает а мне по .... т .к я на зарплате и чем меньше клиентов тем лучше. Вот в таких случаях и бывает очень трудно договорится, так как для сапорта это лишний гимморой.
Вариант№2 Как поступает мой провайдер и многие провы в Киеве. Это бы Задорнову бы отослать . Ты платишь за предоплаченный трафик + 10-20%, на случай попадания с левым трафиком. И в таком случае если это случится тебя попросят оплатить в этом месяце Анлим, а не по тем тарифам за 1Мг по которым ты работаешь. Это как-бы дает тебе возможность не попасть гарантированно в очень большие бабки. Это и есть тот вариант договорености с провом, который выбрал я- такой вот вариант страховки.

DBA

Цитата:

В зависимости от конкретных условий эти расходы могут быть весьма велики. Тут уже придется выбирать что тебе дороже.

Репутация
Завтра к тебе придет чел из соседней организации.
Которому все равно бабулесы надо будет тратить.
А от тебя услышит совет.
И фраза "да нормально, все работает, не кидают" будет иметь большое преимущество пере неизвестностью.
Я уже не говорю про слова "рулез, адекватные ребята, помогут если что, да и у девочки из саппорта такой томный голос... "

yarasha
Интересный вариант.
Про такой не слышал

Цитата:

да и у девочки из саппорта такой томный голос...

Неужели нет среди нас провайдеров?
Как они решают эти траблы с своим вышестоящим?
Вообще, я так понимаю, крупные провайдеры друг с другом трафиком меняются? Ведь если один качает себе, то второй к себе - значит есть взаимозачет?

UncoNNecteD
Я не знаю как у вас, а у нас обычно покупается какой-то канал (в смысле ширина), а что ты туда всунешь -- твои тараканы.
Анлимит короче.
Посему эта проблема отсутсвует.
А когда начинают DoS атаки -- тогда да.
Тогда надо фильтровать на ступень выше.

neperap у вас это где?
В России трафик платный.

Мля, развели тут "то да потому" на 7 листов. Я полностью согласен с коллегой neperapом. Вариантов для клиента 3:
- покупается "ширина" (или "толщина" - это кому как) канала, например 256Kbps, а не трафик (neperap зовет это "анлим", но это верно только в смысле трафика, а так лимитом является скорость). У меня именно такой вариант, причем ограничение вводится на внешнем итерфейсе маршрутизатора провайдера;
- работа с "серыми" (кто придумал этот термин?) IP за NAT, организованным провайдером. В этом случае никаких своих сервисов, торчащих наружу, быть не может, если, конечно, не договориться с провайдером отдельно. FTP отдыхает (UncoNNecteD, мы помним про PIX...).
- лимит на трафик. В этом случае клиент осознает, что из-за несовершенства IP он может получать "левый" трафик и должен будет оплачивать и его тоже. Этот вариант особенно требует наличия грамотного сетевого администратора, способного распознать флуд и оперативно, в сотрудничестве с провайдером, отреагировать на него.

Че тут обсуждать-то? Какие, нафиг, VPN еще? Фуфло одно...

UncoNNecteD
У нас -- это у нас на фирме.
UA
ooptimum


Цитата:

Че тут обсуждать-то? Какие, нафиг, VPN еще? Фуфло одно...

/me бьеЦЦа в истерике.
Хорошо сказал

ooptimum

Цитата:

Че тут обсуждать-то? Какие, нафиг, VPN еще? Фуфло одно...

я работаю по VPN с динамическим IP. Подключен к провайдеру почти 24 часа. В дальнейшем планирую ставить веб и почту. Перенаправлять запросы ко мне вполне реально.

Преимущества:
1. Если тебя задолбали пингы + SYN, ты просто переподключаешься, и у тя другой IP
2. Месячный траффик уменьшился почти что в 3 раза (статистика провайдера).
3. Никаких потерь в скорости в связи с переходом на VPN.

Batman

Цитата:

я работаю по VPN с динамическим IP.

Расскажи нам, что такое VPN с провайдером, да еще и c динамическим IP. Я не догоняю идею, если честно. Видно, слишком много знаю.

ooptimum

Цитата:

Видно, слишком много знаю

знаешь, да не то

У меня выделенный канал с провом, подключение через VPN, при подключении мне дается IP, с которым и выхожу в инет.

З.Ы. Я так не понятно объясняю?

Batman

Цитата:

У меня выделенный канал с провом

Как организован канал?

Цитата:

Подключен к провайдеру почти 24 часа. В дальнейшем планирую ставить веб и почту. Перенаправлять запросы ко мне вполне реально.

ХОЧУ ПОСМОТРЕТЬ НА ЭТО!!! Только вот одно не понятно, как клиент из мира будет знать какой IP у твоего Веб сервера сегодня и по какому IP завтра отправлять почту на твой сервак. И почтальон сойдет с ума разыскивая нас (с)

Batman

Цитата:

знаешь, да не то

Я знаю, чтослишком мало знаю...

Кстати, я догадался, что ты имел в виду через пару минут после того, как запостил последнее сообщение, да времени написать не было. Вернее я полагаю, что догадался. Поправь меня, если я не прав. Итак, к тебе идет веревка от провайдера, на обоих концах которой "серый" IP, т.е. соединение постоянное и на хорошей скорости (я полагаю). Далее вы создаете канал, например с помощью PPPoE, с выходем в и-нет. Т.е. вы эмулируете dial-up через постоянное соединение с назначением нового IP при установлении каждого нового сеанса. Правильно понимаю? Что ж, идея весьма недурна. А я все думал зачем PPPoE нужен? Похоже, мы можем добавить это как пункт #4 в список, приведенный выше. neperap, есть возражения?

Цитата:

1. Если тебя задолбали пингы + SYN, ты просто переподключаешься, и у тя другой IP

Логично. Прикинь, а на Dial-Up вообще таких проблем не существует. Мы тут флейм развели на 7-мь страниц, а ларчик просто открывался. Перешел на Dial-Up и все.

Цитата:

Какие, нафиг, VPN еще?

Собственно VPN соединение только так (как DialUP over Ethernet) и работает...
Но проблема с серверами в клиентской сети - как ее решать?
Хотя тут видно невозможно - "и рыбку съесть и поле перейти".

ooptimum
все верно

yarasha
у меня был предварительный разговор на эту тему с провом ... насколько я представляю, dns-запросы идут к прову, а он пересылает их к тебе на серый адрес.

Цитата:

у меня был предварительный разговор на эту тему с провом ... насколько я представляю, dns-запросы идут к прову, а он пересылает их к тебе на серый адрес.

Да, но кто тогда их будет фильтровать? Повайдер скорее всего нет, так как ему и не известно, какие нужны тебе пакеты, а какие нет. И еще какой в таком случае прописуется IP адрес твоего DNS сервера? Скорее всего провайдерский.


Добавлено
Если я не прав, поправьте пожалуйста. VPN подключение подразумевает отсутствие каких либо сетевых сервисов аля FTP,WWW,DNS,MAIL. То есть, если построенно VPN подключение с провайдером, то это исключает возможность разместить на локальном сервере у себя сетевые сервисы доступные с Интренета
Второе. VPN подключение между двумя хостами с серыми IP, не исключяет реальный IP для всех остальных. То есть грубо говоря, если у меня с Васей Пупкиным с городом(хостом) N построена VPN с серыми(динамическими) IP. То отношение к моему реальному IP для всех остальных это не имеет и проблему обсуждаемую в данном топике не решает.

Цитата:

VPN подключение подразумевает отсутствие каких либо сетевых сервисов аля FTP,WWW,DNS,MAIL

VPN - тот же dialup, то есть ты получаешь реальный ip и даже можешь роутить некую подсеть в инет через этот ip. Просто соединение идущее через некий канал связи шифруется.
Второй половины вопроса не понял до конца.

Вот тема мне навеяла...
Программа - а как с ней боротся?

Знаю что нечто подобное уже было писано до меня, но мне моя реализация больше нравится

>>VPN - тот же dialup, то есть ты получаешь реальный ip и даже можешь роутить некую >>подсеть в инет через этот ip.

И как только получил реальный IP, на него потек "левый" трафик и провайдер начал его считать за пределами VPN-сети. Так что к теме обсужения это имеет очень маленькое отношение. Аналогичные вещи еще socks делает.

>> насколько я представляю, dns-запросы идут к прову, а он пересылает их к тебе на >>серый
Кстати ничего не сказали о DNAT'е. Если что, то может выручить в случае, если на сером IP хочется сделать сервисы - веб или телефонию какую-нибудь. Только вот DNS придется держать где-то у провайдера, да и почту тоже.

Да и вообще тема надоела.

Цитата:

>>VPN - тот же dialup, то есть ты получаешь реальный ip и даже можешь роутить некую >>подсеть в инет через этот ip.

Именно это я имел ввиду когда писал в предведущей своей мессаге.

Цитата:

Второе. VPN подключение между двумя хостами с серыми IP, не исключяет реальный IP для всех остальных.

В том то и проблема, что VPN идет между какой-то группой хостов с серыми АЙ-ПИ и шифровыным трафиком, но для всех остальных эти же хосты доступны с реальными IP.
Немного по другому, когда идет VPN от тебя к провайдеру.

Цитата:

И как только получил реальный IP, на него потек "левый" трафик и провайдер начал его считать за пределами VPN-сети. Так что к теме обсужения это имеет очень маленькое отношение. Аналогичные вещи еще socks делает.

ДА!! ПРАВИЛЬНО!!!!!! Полностью согласен.

Цитата:

Только вот DNS придется держать где-то у провайдера, да и почту тоже.

АГА и не только почту и еще все серверные сервисы типа ВЕБ и т.д

Цитата:

АГА и не только

Если вас намеренно флудят - пров вас нафиг пошлет.