3dfx

ISA для подсчет трафика не годится. В отчетах будет присутствовать только трафик прошедший через нее, к тому же очищенный от заголовков IP, а то, что отреджектила ISA в отчеты не попадает. Насчет троянов сервер проверили? Если сидит, то очень вероятно, что трафик даже в ISA не попадает, а принимается и уходит с интерфейса, что смотрит во внешний мир. Проверил, нет там ничего. Как поумнее считать траффик на интерфейсе с полным логгированием? Поставить в разрыв чтото "прозрачное"? Может бывают какие нибудь железки отчёты с которых можно использовать как доказательство? Посоветуйте что нибудь простое и надёжное.

Опять же почему не видно трафика в отчётах?

это АОЛ. в этом диапазоне живут сервера ICQ. может кто-то по аське файло крупное кидает? У меня в отчёте ИСЫ это не отображается.

84.53.173.144 - принадлежит Akamai Technologies. На их серверах хранится контент крупных производителей софта, тяжелый контент сайтов и т.п. В частности, там также располагаются обновления для ПО Adboe, Microsoft и т.п. У многих наших юриков и физиков иногда встречается подобная ситуация - мегабайты или гигабайты трафика, который "они не качали". Чаще всего это оказывались обновления Adobe. Такая ситуация, предположительно, получается следующим образом: компьютер, где установлено ПО от Adobe, лезет на сервер обновлений Adobe, а тот в свою очередь инициирует соединение от сервера Akamai. И все что оттуда идет - тупо дропается Вашей машиной с ISA, ибо незапрошенный трафик. А дело провайдера - доставить трафик до получателя. По поводу остальных IP, уж как то несильно похоже, что это какой то DDoS. А по объемам можете сказать откуда больше всего было принято (дропнуто)? Особенно интересны ip 64.12.164.75 , 64.12.31.252 , 205.188.253.6 , 205.188.253.4 . Remote port случаем не 5190 ? Провайдер в таком случае и не особо может пойти на встречу, если это явно не DDoS, либо на первый раз списать трафик, либо отпустить его по льготной цене. 64.12.164.75:1030 UDP 64.12.31.252:3478 UDP 205.188.253.6:80 TCP 205.188.253.4:80 TCP А вот мне знакомы :) 84.53.173.144 - Акамаи В списке есть мои ip-адреса. Что-то мне кажется смешной ситуация, когда Акамаи начинает фладить адрес российкого юрлица :) Давайте уж свой айпи, буду смотреть в Цыску. Отписал в ПС. И ещё попрошу не советовать нанять админа, а помочь разобраться в ситуации. Или все сразу умными родились? Если я каких то вещей незнаю или не понимаю, объясните - буду знать.

Согласен. Кто заплатил? Крупный московский провайдер? Он полосу купил, и эти 12Г в этой полосе потерялись. В эпсилон-окрестности. Если он, конечно, крупный, а не "крупный" ;-)Поэтому правильный вариант - беседовать с менеджером контракта и просить списать этот трафик. Если контора платила аккуратно и регулярно, они на это шли даже в эпоху бумов подглючений, а уж сейчас-то... На будущее ставить lancelot, cricket, cacti, torrus или "кого-то из той же династии", крутить алармы и ставить пороги срабатывания. Админу в почту или смс или как удобнее. Потому что сегодня может быть 12Г, а завтра 300. Скажем что он крупнейший :) как для юкиков так и для физиков. И не 12гиг а 150 :) 12 мы потребили лично, а остальное нам влили. Ну естейственно что буду алармы теперь крутить.

А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут. Меня интересует практика, я нашёл пару случаев на этом форуме. И советы как лучше общаться с провайдером. Ширина канала 3МБит/с. Как обещал даю IP: 84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту. Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными. 62.118.79.133 64.12.164.75 64.12.31.252 74.125.39.91 74.125.39.93 87.248.212.75 87.250.251.63 87.250.251.11 88.212.221.166 - повторяется в течении дня 90.156.153.107 93.191.13.100 93.158.134.190 94.100.178.230 - повторяется в течении дня 194.67.23.153 194.67.52.35 194.67.57.21 194.186.55.40 205.188.253.6 205.188.253.4 Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы.

Доброе время суток! Думал никогда не сталкнусь, но пришлось: Принесли вчера счёт за интернет, за март на 150ГБ, что по тарифам юриков достаточно дорого. Начал разбираться, снял отчёты с ISA сервера, там 12.4ГБ. Позвонил провайдеру (небуду пока называть, крупный московский провайдер), они попинали по разным службам, сошлись на том что надо посылать им "претензионное" письмо. Сегодня его составили, указали предыдущие периоды, средний расход траффика и свели с одну таблицу их и наши подсчёты по предыдущим месяцам, они сошлись достаточно точно. В момент начала "флуда" я был как раз в отпуске, м.б. поэтому он небыл замечен. Сегодня промониторил отклонённые пакеты на ISA, выяснилось что с некорого IP (немогу сейчас привести его, т.к. не помню) идёт портскан на наш сервер, т.е. на один порт по многу раз (разное кол-во несколько десятков) за минуту примерно 100-120 запросов. Пакеты дропятся, и в траффик у нас не считаются, т.к. реально никем не потреблён. Теперь принимаю советы по дальнейшим действиям, как со стороны борьбы с подобными неприятностями, так и с юридической стороны - кто виноват и что делать? Более подробную тех. информацию могу предоставить завтра. На вопросс почему вовремя не отреагировал - у меня на сервере этот траффик не учтён т.к. пакеты дропнуты, и пока не был получен счёт от провайдера о перерасходе было неизвестно. Некоторое торможение интернета присутствовало, но ввиду подключения через радиоканал тормоза были списаны на него. Поиском по форуму сейчас занимаюсь, если у кого есть готовые ссылки на похожие темы почитаю с удовольствием.

А нельзя ли к нему подключиться через telnet или типа того и прописать маршруты? У меня v5 как я понял - vxworks non linux os. Прошивка 1.00.6.

up!

Дополнительный. Сейчас в таблице есть несколько маршрутов, видимо автоматически создались: Routing Table Entry List Destination LAN IP Subnet Mask Gateway Interface 0.0.0.0 0.0.0.0 10.1.32.1 WAN (Internet) 10.0.0.0 255.0.0.0 10.3.1.1 LAN & Wireless 10.1.32.0 255.255.255.0 10.1.32.179 WAN (Internet) 10.3.1.0 255.255.255.0 10.3.1.1 LAN & Wireless А мне нужно добавить маршруты до 10.1.1.0, 10.1.2.0 и т.д., через 10.1.32.1. Непонятно почему он мне про дефолт роут пишет, если я его не трогаю. Кстати такой ответ в режиме Router и Gateway тоже. На сайте линксисовском ничего не нашлось умного, да и вообще неищется такая фраза в нете, когбудта у меня первого выскочила :)

Вижу только свою подсеть, а дальше никак. При попытке добавить маршрут, роутер пишет: "May be default route already exists". В Advanced Routing стоит следующее: Operating Mode: Router Dynamic Routing: Disabled Select set number: 5() Enter Route Name: first Destination LAN IP: 10.1.1.0 Subnet Mask: 255.255.255.0 Default Gateway: 10.1.32.1 Interface: WAN Жму Save Settings и получаю этот ответ. В подсказке сказано про некую кнопу Apply, у меня её нету :( Моя подсеть 10.1.32.0.