Jump to content
Калькуляторы

Подозрительный, нежелательный трафик в сети

Доброго времени суток, уважаемые.

Последнее время в нашей небольшой провайдерской сети участились проблемы с гуглом и PSN, на первом то и дело просит ввести код из-за "нежелательного трафика", либо вообще блокируют, а на PSN зачастую невозможно зайти.

Все абоненты висят у нас за натом на двух IP-шниках. Приблизительно по 300 человек на IP.

Будьте добры подсказать, с чем это связано и как можно вычислить пакастников, если дело в них, а не в количестве человек на один IP.

Share this post


Link to post
Share on other sites

Не факт что кто-то пакостит . Просто когда сидит много клиентов за одним ip гугл начинает блокировать и заставляет вводить капчу. Но есть одно лекарство от этого , Нужно во все http запросы к google добавлять http заголовок X-Forwarded-For c приватным адресом вашего клиента. Это должно решить проблему

Share this post


Link to post
Share on other sites

аналогичные проблемы с PSN.

 

заложили бюджет на СКАТ...

Share this post


Link to post
Share on other sites

аналогичные проблемы с PSN.

 

заложили бюджет на СКАТ...

 

и как СКАТ в этом поможет? будете выявлять "плохих" пользователей и блокировать их? ну ерунда же полнейшая и не факт что оно на 100% будет решать вашу проблему

 

Может лучше заложить бюджет на ещё одну /24 белых и размазать абонентов по ним? это примерно 4000$, что дешевле, чем минимальный по железу СКАТ с нужными фичами

Share this post


Link to post
Share on other sites

Можно из netflow собирать статистику, от кого из клиентов постоянно не переставая идут запросы на 80/443 порт гугловских сетей и натить их всех через отдельный айпишник, пока не полечат свои трояны. Точно будет дешевле вариантов выше.

Share this post


Link to post
Share on other sites

Может лучше заложить бюджет на ещё одну /24 белых

с утилизацией пулов всё хорошо. примерно на 25к абонентов выделена одна /24.

thumb.png

 

Можно из netflow собирать статистику

По нетфлоу проблемно, тк у нас с BRASов/PE трафик до НАТ-фермы долетает по MPLS.

Я так понял Juniper MX80 не умеет сэмплить MPLS-трафик направляемый в туннель.

Share this post


Link to post
Share on other sites

rdntw

я не понимаю вашей логики. у вас проблема, что за одним IP слишком много народа и поэтому сервисы начинают банить ваш IP. Если сделать в 2 раза меньше народа за одним IP, то вероятность наступать на эти грабли будет куда меньше

 

неужели вы думаете, что DPI вас на 100% избавит от "атак" в сторону сервисов со стороны абонентов?

Share this post


Link to post
Share on other sites

rdntw

я не понимаю вашей логики. у вас проблема, что за одним IP слишком много народа и поэтому сервисы начинают банить ваш IP. Если сделать в 2 раза меньше народа за одним IP, то вероятность наступать на эти грабли будет куда меньше

 

неужели вы думаете, что DPI вас на 100% избавит от "атак" в сторону сервисов со стороны абонентов?

 

Ну во-первых было написано письмо в Sony :) в ответе было сказано что это у них проблемы c некоторыми провайдерами и что они ее решают, но мы изначально думали что проблема из-за спама пользователей на их сервис.

Но так как капча на гугле раньше имела место быть, то значит кто-то все равно гадит. Как мне кажется лучше сразу найти зараженных абонентов, а не идти на уступки убивая под это дело целую /24 + для пользователя будет полезно узнать что у него там "кишит".

 

 

А DPI может использоваться не только как продвинутый netflow.

Share this post


Link to post
Share on other sites

+ для пользователя будет полезно узнать что у него там "кишит".

вы просто сами себе геморрой создаёте, влезая в то, что творится у абонента я дома

мой опыт: 60 абонентов на один белый IP и нет жалоб на капчи. на абонента лимит в 5000 активных трансляций. те, у которых тупая вирусня упираются в этот лимит. если вирусня умная, то она не сможет сгенерить большое число запросов в секунду, т.к. будет ждать ответ на каждый запрос

 

а не идти на уступки убивая под это дело целую /24

уступка это трата денег. вы можете потратить кучу денег на DPI. При базе в 25К абонентов это совсем не копеечный комплекс(а трафик вам придётся весь через него гонять, чтоб искать атаки на сервисы) или же прикупить IP-адреса, что дешевле и разово и ежегодный платёж меньше, чем за апдейты на DPI(без которых DPI становится бесполезен в задаче поиска атак)

Share this post


Link to post
Share on other sites

мой опыт: 60 абонентов на один белый IP и нет жалоб на капчи. на абонента лимит в 5000 активных трансляций.

К сожалению наш CGNAT пока не поддерживает PBA и ограничение сессий на пользователя:) точнее мы не рискуем обновляться на тот софт который это поддерживает.

Но вашу точку зрения я понял.

 

 

уступка это трата денег. вы можете потратить кучу денег на DPI. При базе в 25К абонентов это совсем не копеечный комплекс(а трафик вам придётся весь через него гонять, чтоб искать атаки на сервисы) или же прикупить IP-адреса, что дешевле и разово и ежегодный платёж меньше, чем за апдейты на DPI(без которых DPI становится бесполезен в задаче поиска атак)

 

На самом деле есть куча свободных /24, но хотелось бы искоренить проблему) видимо придется ждать софта для правильной настройки НАТа.

Но и DPI интересно руководству с точки зрения маркетинга. Хотели убить 2х зайцев так сказать...

Share this post


Link to post
Share on other sites

Но и DPI интересно руководству с точки зрения маркетинга.

 

DPI в РФ в ШПД сетях живёт лишь благодаря Роскомандзору, всё остальное - либо не продаётся(всякие там родительские контроли и выявление вирусов), либо выполняет половину функций BRAS, а именно нарезку скоростей(при этом, обычно, не решая задачи терминации). Кулстори продаванов про "экономию" аплинка за счёт подрезания торрентов становятся всё более сказочными за счёт того, что онлайн-видео имеет всё большую долю в общей полосе и если подрезать онлайн-видео, то такой интернет нафиг никому не сдался

 

rdntw

что у вас используется для NAT?

Share this post


Link to post
Share on other sites

rdntw

что у вас используется для NAT?

Juniper MS-MPC,

Только сейчас подумал о логах с НАТа, но они не покажут так скажем количество спама на ту же подсеть гугла так как показывают только начало и конец трансляции.

Но хоть какая-то статистика о активности будет..

 

 

DPI в РФ в ШПД сетях живёт лишь благодаря Роскомандзору, всё остальное - либо не продаётся(всякие там родительские контроли и выявление вирусов), либо выполняет половину функций BRAS, а именно нарезку скоростей(при этом, обычно, не решая задачи терминации). Кулстори продаванов про "экономию" аплинка за счёт подрезания торрентов становятся всё более сказочными за счёт того, что онлайн-видео имеет всё большую долю в общей полосе и если подрезать онлайн-видео, то такой интернет нафиг никому не сдался

как-то это совсем уж прям пессимистично

Share this post


Link to post
Share on other sites

а чё вы хотели реализовать на DPI? какие именно услуги?

в реальности - вы получите нормальную фильтрацию по http url и кучу красивых картинок по распределению трафика по протоколам и т.п., на которые прикольно посмотреть, но толку от них немного. более ничего

Share this post


Link to post
Share on other sites

а чё вы хотели реализовать на DPI? какие именно услуги?

1) как это не подло, но реклама

2) приоритезация определенного трафика для абонента

3) продажи только определенной услуги ( например для человека интернет это только яндекс или скайп) - продавать им эту возможность за N рублей.

 

Такого рода статья была на НАГе или хабре кажется, где каждый сервис представлял услугу для абонента.

Опять же я не маркетолог, моя задача внедрить :) как продавать пусть думаю другие перед тем как ставить.

Share this post


Link to post
Share on other sites

а чё вы хотели реализовать на DPI? какие именно услуги?

1) как это не подло, но реклама

 

Да глупость это в наше время. Всё самое посещаемое - вк, фб, твиттеры и т.п. давно ушли в https. Ну вставите/замените вы рекламу на сайте nag.ru, который админ-олдфаг не может переделать на https, реально это капля в море.

а уж сколько трафика уходит в мобильные приложения... и там вы рекламу тоже не подмените, де-факто там шифрование это стандарт

Share this post


Link to post
Share on other sites
Но так как капча на гугле раньше имела место быть, то значит кто-то все равно гадит.

Оно видит что у вас с одного адреса идёт много запросов и банит, потому что думает что кто то накручивает рекламу, накручивает счётчики, накручивает выдачу в поиске и спамит.

ДПИ вам не поможет.

Share this post


Link to post
Share on other sites

ДПИ вам не поможет.

т.е. с помощью DPI нельзя посмотреть ТОП пользователей от которых исходит аномальная активность, допустим, на серваки гугла? Так?

Share this post


Link to post
Share on other sites

А зачем Вам для этого DPI? Запустите wireshark/tcpdump/tshark на базе netmap/pf_ring и смотрите сериал "трафик ваших абонов" (та хоть на 10GE потоке), при желании тот же tshark скриптуется просто влет и выявляет кто и зачем гугла мучает. Ей богу, нафига тащить совершенно ненужный крап, когда все решается типовыми открытыми средствами?

 

Даже netflow будь он тупым миллион раз покажет кто сервер домогает, а уж для него средств анализа налабали огогогого :)

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

Даже netflow будь он тупым миллион раз покажет кто сервер домогает, а уж для него средств анализа налабали огогогого :)

Про нетфлоу был мой первый предложенный вариант руководству. Но его использовать пока не можем, причины указывал выше.

Share this post


Link to post
Share on other sites

А зачем его сэмплить? Сделайте миррор порт, снимите его на машине c Linux и прямо там либо сразу обработайте либо сгенерируйте netflow тем же ipt_netflow и направьте в анализатор.

Share this post


Link to post
Share on other sites

А зачем его сэмплить? Сделайте миррор порт, снимите его на машине c Linux и прямо там либо сразу обработайте либо сгенерируйте netflow тем же ipt_netflow и направьте в анализатор.

Во сколько обойдутся 2 сервера способных прожевать по 15Г ? естественно дешевле DPI, но так, чтоб понимать..

Share this post


Link to post
Share on other sites

rdntw, ну хватит и одного. Во-вторых, любой хлам клсса i7 2600 + 10GE Intel карта на чипе 82599 прожует 10GE трафика не подавившись. Я думаю можно в 30 тыщ уложиться либо найти старый писюк на складе :)

Share this post


Link to post
Share on other sites

Ну ищите динамику, на какой внешний айпи жалуются, смотрите его tcpdump ом, вдруг там правда кто-то остервенело парсит/флудит Google?

Share this post


Link to post
Share on other sites
т.е. с помощью DPI нельзя посмотреть ТОП пользователей от которых исходит аномальная активность, допустим, на серваки гугла? Так?

Объясняю на пальцах.

Есть гугл, яндекс, хз кто ещё.

Они продают показы рекламы, клики, ранжирую выдачу поисковую по кликам.

Всякие особо умные ставят себе дома ботов которые скликивают рекламы конкурентов, кликают по нужной выдаче в поиске и тп.

Вот со стороны гугля они выглядят точно так же как ваши юзеры за натом, поэтому он просит вводить капчу.

Нужны подробности - ищите на всяких сео мяу форумах, они там этим живут.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this