» Проблема с провайдером по поводу трафика

Попытаюсь разяснить ситуацию.
У меня выделенка, связь с провайдером через радио модем. (Sent/Receive)
Плюс у меня спутниковая связь. Информацию я отправляю через радио модем, получаю через спутник. (Receive)
У меня трафик 500Мб в месяц, по радио модемной севязи, пользуюсь таким методом уже как полтора года. И ни разу не повышал лимит трафика, начиная с предыдущего месяца у меня трафик просто летит в никуда, провайдер говорит что это мы качаем, я с этим не согласен, так как у меня ничего не изменилось не в настройках, не в программном обеспечении, поставил себе прогу Тmeter и нормально считает мой трафик, по данным этой проги трафик у меня идет как и было, но в сайте провайдера мой трафик считается почти в 10 раз больше.
Я проверил всю мою сеть, первое что я сделал, отключил локальную сеть и оставил только сервер, и вот что я увидел: у меня нету никаких прог которые работают со связю все отключено, открываю Status соеденения с моим провайдером через радио модем и вижу что без sent-а я получаю receive оргомным количеством, проверяю сеть по команде Netstat все нормально. Вирусов не может быть, проверял разными способами.
Подскажите как быть? Как можно ему докозать что я прав, я не кочаю трафик?

Попробуй определить откуда идет этот трафик с помощью снифера. И разобраться с источниками, возможно кто-то специально портит тебе жизнь. Для провайдера не принципиально качешь ты что-то или нет, у него считается количество переданных данных.

Проверь на вирусы, возможно trojan downloader сидит.
Может кто то пытается провести DoS атаку.
Выясни source ip, попроси провайдера их заблокировать.

earlzero

Как определить? Каким снифеером пользоватся?

Leprecon


Цитата:

Проверь на вирусы, возможно trojan downloader сидит.

Вирусов точно нет, проверял, обновлял и заново проверял, все чисто, это я точно знаю!

блин трафик у меня просто течет ( Помогите а..

osip

Цитата:

Каким снифеером пользоватся?

ну например вот этим: Iris The Network Traffic Analyzer

nickloayev

Спасибо, щас попробую.

Добавлено:
Я проверил снифером, и я был прав!
С сервера приходят какие-то глюковые запросы.
Типа с MAC адресса 00:0E:83:49:DC:36 на FF:FF:FF:FF:FF:FF
Tип фрейма ARP протокол ARP>Request, порт --- (нету) размер пакета 60

Еще есть такое с МАС адресса 00:10:4B:1F:8B:7A: на FF:FF:FF:FF:FF:FF
Тип фрейма IP протокол UDP->NETBIOS-DSM порт 138 размер пакета 231

Думаю в этой сети что-то очень ужасное происходит.
Есть какие-то мысли?

первый запрос пытается найти mac-адрес сетевого устройства по IP, посмотри внимательнее какой там ip прописан. Про второй читай здесь http://www.hub.ru/modules.php?name=Forums&file=viewtopic&p=64997&sid=476e9329aa86cda4b425772743e602fe

earlzero

Вот самое интересное там, что IP бывают разные, скажем 195.*.*.1 это сервер, 195.*.*.16 это мой, а там фиксируются все IP, я читал что это регистрирует МАС адресс и сетевой адаптер, но этот процес не должен повторятся, а у меня все время повторяется.


Цитата:

Про второй читай здесь http://www.hub.ru/modules.php?name=Forums&file=viewtopic&p=64997&sid=476e9329aa86cda4b425772743e602fe

Так этот вирус у них или у меня ты хочешь сказать?

Давить провайдеров, считающих широковещательный трафик в собственной сети!

ooptimum

Давить бы с радостью, но надо с перва докозать..

если бы вирус был у тебя у тебя бы был бешеный исходящий трафик, а не входящий - значит вирус у них, кстати по идее такие проблемы должны быть не у тебя одного - поспрашивай у других пользователей провайдера по поводу этого глюка.
Если MAC адрес, соответствующий IP был найден - тогда создается запись в ARP-таблице, но возможно таких IP нету в сети, т.ч. запрос может повторяться - это и создает трафик arp-запросов(проверь сниффером есть ли ответы на эти запросы). Только вот что долбится на эти IP я не знаю.

osip

Цитата:

там фиксируются все IP, я читал что это регистрирует МАС адресс и сетевой адаптер, но этот процес не должен повторятся, а у меня все время повторяется.

Вообще-то широковещательные пакеты типа "я такой мак, у меня такой адрес" ходят постоянно, с небольшими интервалами.
earlzero

Цитата:

если бы вирус был у тебя у тебя бы был бешеный исходящий трафик, а не входящий - значит вирус у них

Тоже не факт, вирусы разные бывают. а насчет вирусов у них, я честно говоря ни разу не слышал что под *никсы (если это нормальный пров) существуют такие вирусы.

Цитата:

Если MAC адрес, соответствующий IP был найден - тогда создается запись в ARP-таблице

АРП таблицы постоянно обновляются, как я уже говорил.

Цитата:

проверь сниффером есть ли ответы на эти запросы

ответов на эти запросы физически быть не может.

Raredemon

Спасибо тебе за ответ, я уже разъснил что это атака, с IP 84.58.171.148 кажится, последнюю метку точно не помню, шлет она пакеты размером 550 стандартно, вот что и крутит мой трафик, как с этим бороться? Что посоветуешь? У меня маленький клуб, сервак на винде, раутер у меня вингейт, эта атака проходит через вингейт даже, закрыл IP но некоторое время спустя он опять таки работает.
Как с этим бороться? Что посоветуешь сделать?

osip
Скажи прову, чтоб они у себя полностью закрыли этот адрес, т.к. ты у себя этого сделать не сможешь...

osip
Если атака идет с адреса не принадлежащего сетям твоего провайдера, то что бы ты не сделал у себя на сервере, входящие пакеты должны сначала пройти через маршрутизатор твоего прова, где и посчитаются. А если адрес "атакующего" внутренний по отношению к провайдеру, то почему провайдер считает такой трафик? В общем, по-любому надо решать проблему совместно с провайдером.

А вообще, используя слова типа "кажится" и не давая четких исходных данных, не стоит особо рассчитывать на исчерпывающий ответ.

Krechet

А если IP уже 3 раза менялса, просто можно заблокировать вообще все начинающееся с 84.*.*.* так думаю, я уже им сказал, они закроют сегодня наверное.
Посмотрим поможет ли это или нет.

Если ты тарелочник без разрешения прова, то вполне возможно что тебя сам пров давит, т.к. на тебе но видать совсем не зарабатывает. Это как вариант. Подробнее по этому вопросу лучше на nag.ru посоветоваться, кажется там былf тема как бороться с тарелочниками.
Либо
Цитата:

Скажи прову, чтоб они у себя полностью закрыли этот адрес, т.к. ты у себя этого сделать не сможешь...

Ну и как ещё один вариант у вигтейта должен быть фаервол(по старым весиям сужу), ну думаю что за настройками оного в оттедльном топике гденить в помощи или программах тебе подскажут.
Ну и
Цитата:

P 84.58.171.148

может быть поддельным.

ooptimum

Сказал кажится, потаму что точно не помню, я щас на другой работе сижу, а айпи у меня на другом месте, я не могу точно вспомнить.
A провайдер считает, да еще как, вот то что и хочу сделать, докозать, что это не я скачал весь этот трафик, а это атака и мне не надо за это платить.

osip

Код: whois IP