Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Народ помогайте! У нас ЧП.

Автор: superkatya
Дата сообщения: 15.08.2002 14:12
сетка у нас на работе компов из 7, локальная...плюс к ней как-то там через АДСЛ (я не знаю как) подсоединен еще один магазин с 2-мя компами.

Асдл у нас 64 кб/с входящий /16 кб/с ихсодящий

и вот приходит нам извещение мол мы качаем в день чуть ли не по 1000 мб, при том что в пакет входит на месяц всего 500мб.

как нам выяснить откуда такая выкачка?? как защитить себя от этого?
Автор: UncoNNecteD
Дата сообщения: 15.08.2002 14:27

Цитата:
в день чуть ли не по 1000 мб


Чтоб качать 1Гб в день нужна скорость не меньше 100 kbps imho Так что данные нереальны - ну никак
Автор: superkatya
Дата сообщения: 15.08.2002 15:32
да реальны реальны..
мы проэксперементировали..это заявленная скорость
на самом деле качает порой и 24 килобайта в сек, т.е. за день запросто.
Автор: UncoNNecteD
Дата сообщения: 15.08.2002 15:38
superkatya
Как настроен шлюз/прокси в инет? Ты вообще компетентна в этих вопросах?
И как ты думаешь может ли кто нибудь скрытно крысить этот трафик ? То есть может это не программный глюк, а просто читерный юзер? Как ты думаешь?

1. Попробуйте отрубить юзеров от инета и посмотреть что будет.
2. Поставьте файрвол на шлюзовую машину и запретите входящие соединения.
3. Настройте кэш-прокси. (рек. Win32 - WinGate Linux - SQUID)
4. Настройте права юзеров и считайте персональный трафик каждого юзера.
5. Напиши о результатах
Автор: superkatya
Дата сообщения: 15.08.2002 15:44
у нас прокси..
на одном компе АДСЛ все остальные от него питаются.

Добавлено
отрубить от инета..хих.. у нас то 0 то 1000...

может и троян.. но компы то проверили вроде все ок.
Автор: UncoNNecteD
Дата сообщения: 15.08.2002 17:03

Цитата:
2. Поставьте файрвол на шлюзовую машину и запретите входящие соединения.


Цитата:
4. Настройте права юзеров и считайте персональный трафик каждого юзера.
5. Напиши о результатах

Автор: new_yorik
Дата сообщения: 15.08.2002 18:54
кажется мне юзают вас как проксю, при чем очень нагло.
Автор: AlcoEnergizer
Дата сообщения: 16.08.2002 08:55
1gb в день по ADSL выкачать можно (сам качал ) т.к. 64кб это минимально гарантированая скорость, а средняя как правило выше (у нас по ночам доходило до 256кб).
как бороться? если шлюз стоит на чем-то юнихо-подобном , то посмотреть какой-нибудь мониторилкой траффика trafshow или iptraf. какие пакеты и куда бегают. в принципе под win32 тоже самое (какой-нибудь сниффер, например Iris The Network Traffic Analyzer). ну и соответственно исходя из результатов наблюдения принимать меры.
Автор: life_so_good
Дата сообщения: 16.08.2002 09:30
Надо нат включать и порты мапить для удалённой точки.
Автор: Yartsev
Дата сообщения: 16.08.2002 11:05
new_yorik
Полностью согласен, если в прокси не была прописана фича доступа только из локальной сетки (типа 192.168.*.* - 255,255,255,0) . А если это так, пока прокси не настроете будет у вас трафик немеряный
Автор: UncoNNecteD
Дата сообщения: 16.08.2002 11:11

Цитата:

Цитата:2. Поставьте файрвол на шлюзовую машину и запретите входящие соединения.


Входящие извне.
Это решит 99% проблем.
Автор: superkatya
Дата сообщения: 18.08.2002 11:11
UncoNNecteD
Yartsev


спасибо, в понедельник все передам сисадмину.

у нас понимаете траффик вроде бы был нормальный.. один раз 240 мб, и один раз 1000 мб. а так не больше 40.. вот и удивились..
ну вобщем будем принимать меры.
Автор: NT
Дата сообщения: 18.08.2002 12:24
superkatya

Цитата:
один раз 240 мб, и один раз 1000 мб

Ну это точно какой то узер, может он ФТП сервер там у вас поставил?

А может кто по аське много говорит?
Автор: lynx
Дата сообщения: 18.08.2002 16:09

Цитата:
А может кто по аське много говорит?


Ладно над человеком прикалываться.
Кать, закройте на неделю ftp и посмотрите на траффик. Очень похоже, что правда как прокси вас имеют. Скажи, какой прокси стоит, скажу, что и где закрыть.
По любому на некоторое время надо перекрыть кислород к известным чатам (типа зеркало.ру), к скачке мр3, фильмов.
В сквиде это легко. Ну и плюс, конечно, закрыть его от внешних сетей. Это самое главное.
Автор: webdeveloper
Дата сообщения: 18.08.2002 16:24
NT

Цитата:
Ну это точно какой то узер, может он ФТП сервер там у вас поставил?

Не думаю что со скоростью 16 кб может быть FTP Server-это ведь почти Dial-up......


Цитата:
А может кто по аське много говорит?

Да шифровки посылают.....

superkatya
А сколько из этих ста входящего, сколько выходящего?
Автор: superkatya
Дата сообщения: 18.08.2002 21:23
Люди я с трудом улавливаю о чем вы, завтра буду более подкованно вести беседу.

мп3, чаты и т.д. отпадают.. в офисе умеют тока почту снимать (кроме меня)

тока сисадмин настроил АДСЛ для того чтобы связать на с другим магазином, чтобы аксесовская база была общая.

Добавлено
и народу у нас за компами дай бог человек 10. а то и 5.
Автор: kutuz
Дата сообщения: 18.08.2002 23:06
Ещё есть Iris - неплохой Network Traffic Analyzer...

Добавлено
AlcoEnergizer
Сорри, не заметил сначала, что ты писал об этом.
Хотел удалить это сообщение - пишет, что неправильный пароль Пойду что ли в Помощь по форуму выяснять (сорри за оффтоп)
Автор: superkatya
Дата сообщения: 19.08.2002 12:46
тякс..
значит у нас сервер от Windows 2000, пользуемся маршрутизатором.
Щас переустанавливаем всю систему, т.к. те кто пользуется нашим траффиком уже переписали систему под себя.
Автор: UncoNNecteD
Дата сообщения: 19.08.2002 13:23
superkatya
Мы держим уши на пульсе! Сообщайте что как....
Автор: EndoR
Дата сообщения: 19.08.2002 13:50
superkatya
нуу... чего проще, если маррутник - комп, то переснесите его и все заново.
Автор: superkatya
Дата сообщения: 19.08.2002 14:39
Блин вы что издеваетесь? Можно по-русски отвечать а не рассчитывая на то, что все тут заслуженные сисадмины.

вобщем как мне объяснил сисадмин что все входящие извне нельяза закрыть т.к. мы с магазом сосединяемся. Объясните как сделать так чтобы вход был тока для них (ну там макса подсети или чего).

а еще он просил узнать, у нас есть ип того кто через нас качает, реально ли узнать кто это?

Добавлено
млин опечатки не буду исправлять, так поймете
Автор: UncoNNecteD
Дата сообщения: 19.08.2002 14:49

Цитата:
все входящие извне нельяза закрыть т.к. мы с магазом сосединяемся


Цитата:
макса подсети или чего

Во первых! Вашему магазу абсолютно не нужен Ваш прокси! То есть - вы я так понимаю БД какуюто обновляете?
Так вот, прокси надо настроить только для локальных клиентов (то есть закрыть проксёвые порты на вход снаружи).
ФТП если есть закрыть паролем, запретить анонимных юзеров.
Если у магаза постоянный IP, то прописать его маску для Вашей общей базы.

Если есть IP супостата, нужно выяснить к какой сети он принадлежит (проще всего сделать tracert ip.add.re.ss) и написать письмо той персоне которая ответственна за этот ip. (узнать персону через whois).

Короче пиши че ясно, че не ясно и напиши обязательно какое ПО/ОС юзает твой любимый админ
Автор: superkatya
Дата сообщения: 19.08.2002 14:59
а я разве не написала.. винды 2000, или что еще надо то?

ну магаз он к нам подключается и они там в аксесе чето шуруют..

ИП у магаза не постоянный!
отступление: админ не любимый единственный группу S.P.O.R.T знаешь? вот ее лидер типа.
Автор: snop
Дата сообщения: 19.08.2002 18:16

Цитата:
группу S.P.O.R.T знаешь?

Впервые слышу
А что они делают ?
Автор: lynx
Дата сообщения: 19.08.2002 19:09
Так. Про спорт - это в музыку и в спорт.

Кать. Давай еще раз уточним.


Цитата:

сетка у нас на работе компов из 7, локальная...плюс к ней как-то там через АДСЛ (я не знаю как) подсоединен еще один магазин с 2-мя компами.


Далеко ли территориально магазин? Просто неплохо бы знать, как именно он к вам подключен. Попробуй именно так и спросить у админа, чем черт не шутит, может, и ответит.
Магазин выходит в Нет через ваш ADSL? Судя по тому что:


Цитата:
ИП у магаза не постоянный!


Надо полагать, что у магазина свой модем на два компа и диалап? Так?

Понимаешь, почему я пытаюсь это выяснить - потому что существуют несколько способов решения такой проблемы, выбор одного зависит от конфигурации сети.

Дальше. Чем там вы обмениваетесь с магазином? Я так поняла, что у вас общая аксесовская база данных? Она у вас, а не у магазина физически? Или у магазина тоже что-то есть, что вы запрашиваете?
Дальше. Эта база что именно собой представляет то? Это набор документов или магазин у себя клиентский софт запускает, а вы для него - сервер, на котором серверная часть софта работает? То еть это тоже не понятно.


Цитата:
как мне объяснил сисадмин что все входящие извне нельяза закрыть т.к. мы с магазом сосединяемся.


А он тебе не объяснил, как бы он все же закрывал, если бы не было магазина? То еть есть вариант закрыть все, я попозже распишу, как магазин вас будет иметь при этом (на ум приходят два варианта - настроить Апач или настроить VPN). Мне просто не понятно, чем он там что закрывает, вот в чем беда. И что там за маршрутизатор? Это очень важный вопрос.


Цитата:
Объясните как сделать так чтобы вход был тока для них (ну там макса подсети или чего).


Пока ты не скажешь, чем вы собираетесь закрывать, ответ на этот вопрос... затруднителен.


Цитата:
у нас есть ип того кто через нас качает, реально ли узнать кто это?


Реальный IP или анонимная прокся? Если реальный - вы его уже знаете.
Набираешь (поправьте меня, как оно в винде):
whois ip
Тебе выдается что-то типа:


Код:
bash-2.05$ whois 213.199.187.8
European Regional Internet Registry/RIPE NCC (NETBLK-213-RIPE)
These addresses have been further assigned to European users.
Contact info can be found in the RIPE database, via the
WHOIS and TELNET servers at whois.ripe.net, and at
http://www.ripe.net/perl/whois/
NL

Netname: RIPE-213
Netblock: 213.0.0.0 - 213.255.255.255
Maintainer: RIPE

Coordinator:
Reseaux IP European Network Co-ordination Centre Singel 258 (RIPE-NCC-ARIN) nicdb@ripe.net
+31 20 535 4444

Domain System inverse mapping provided by:

NS.RIPE.NET 193.0.0.193
AUTH00.NS.UU.NET 198.6.1.65
NS3.NIC.FR 192.134.0.49
SUNIC.SUNET.SE 192.36.125.2
MUNNARI.OZ.AU 128.250.1.21
NS.APNIC.NET 203.37.255.97
SVC00.APNIC.NET 202.12.28.131

Record last updated on 08-Apr-1999.
Database last updated on 18-Aug-2002 20:00:11 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 213.199.128.0 - 213.199.191.255
netname: UK-MICROSOFT-20000911
descr: Microsoft
descr: Provider Local Registry
country: GB
admin-c: BR329-ARIN
tech-c: JMS95-RIPE
tech-c: KGP-ARIN
status: ALLOCATED PA
changed: hostmaster@ripe.net 20000911
changed: hostmaster@ripe.net 20010112
source: RIPE
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: MICROSOFT-MAINT
mnt-routes: MICROSOFT-MAINT
changed: hostmaster@ripe.net 20010507
changed: hostmaster@ripe.net 20010518
changed: lir-help@ripe.net 20011214
changed: hostmaster@ripe.net 20020422
changed: hostmaster@ripe.net 20020423
changed: hostmaster@ripe.net 20020613
changed: hostmaster@ripe.net 20020809

person: Bharat Ranjan
address: Microsoft Limited
address: 10 Great Pulteney Street
address: London, W1F 9NB
address: UK
phone: +44 7703 405 100
fax-no: +1 (425) 936 7329
nic-hdl: BR329-ARIN
changed: bharatr@microsoft.com 20020516
source: RIPE

person: Judith Shenk
address: Microsoft Corporation
address: One Microsoft Way
address: Redmond, WA
address: USA
phone: +1 425-703-7384
fax-no: +1 425-936-7329
e-mail: judithsh@microsoft.com
nic-hdl: JMS95-RIPE
notify: judithsh@microsoft.com
changed: judithsh@microsoft.com 20000411
source: RIPE

person: Kurt Parent
address: 1 Microsoft Way
address: Redmond, WA 98052
address: USA
phone: +1 (425) 936 9995
fax-no: +1 (425) 936 7329
nic-hdl: KGP-ARIN
changed: kparent@microsoft.com 20000104
source: RIPE
Автор: L0Ve
Дата сообщения: 19.08.2002 21:43

Цитата:
Набираешь (поправьте меня, как оно в винде):
whois ip

в винде нет whois
Автор: lynx
Дата сообщения: 19.08.2002 22:28
L0Ve


Цитата:
в винде нет whois


Э... вот же шь...
Кать, если у админа нет доступа к юниксу, либо идите на http://www.leader.ru/secure/
Либо давай IP я ему whois сделаю
Автор: superkatya
Дата сообщения: 19.08.2002 23:06
lynx


в винде есть хуиз на рипне..тока боюсь наш супер админ пока переустанавливал винды нах стерл логи

у магаза свой рабочий инет, диалап.. у нас главный аксес.. (база) они подключаются и вносят в нее свои изменения..вот..

магаз от нас не очь далеко...


ИП того кто качает от нас траффик.. ху их выдает типа прова какого-то... как узнать прокся это или нет?
Автор: UncoNNecteD
Дата сообщения: 20.08.2002 07:22

Цитата:
админ пока переустанавливал винды нах стерл л

Привет группе S.P.O.R.T Кто такие?

Цитата:
ИП того кто качает от нас траффик

Забей на них, настройте нормально доступ и всё будет хорошо. У них отмазок гораздо больше чем у вас доказательств.
На Access наверняка стоит пароль, а прокси надо закрыть от внешних входящих и всё.
Удачи...
Автор: Akama
Дата сообщения: 20.08.2002 09:35
Если есть сервак почтовый, то проверьте, не работает ли он как open relay. а то спамеры шибко любят это дело...

Добавлено
там и не одним гигом пахнуть может. видел разок - за сутки 12Гб. по SMTP пролезло (((

Страницы: 123

Предыдущая тема: squid и вырезание баннеров


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.