sandr502 Опубликовано 23 апреля, 2015 · Жалоба Доброго времени суток, уважаемые. Последнее время в нашей небольшой провайдерской сети участились проблемы с гуглом и PSN, на первом то и дело просит ввести код из-за "нежелательного трафика", либо вообще блокируют, а на PSN зачастую невозможно зайти. Все абоненты висят у нас за натом на двух IP-шниках. Приблизительно по 300 человек на IP. Будьте добры подсказать, с чем это связано и как можно вычислить пакастников, если дело в них, а не в количестве человек на один IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 23 апреля, 2015 · Жалоба Не факт что кто-то пакостит . Просто когда сидит много клиентов за одним ip гугл начинает блокировать и заставляет вводить капчу. Но есть одно лекарство от этого , Нужно во все http запросы к google добавлять http заголовок X-Forwarded-For c приватным адресом вашего клиента. Это должно решить проблему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 апреля, 2015 · Жалоба аналогичные проблемы с PSN. заложили бюджет на СКАТ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 апреля, 2015 · Жалоба аналогичные проблемы с PSN. заложили бюджет на СКАТ... и как СКАТ в этом поможет? будете выявлять "плохих" пользователей и блокировать их? ну ерунда же полнейшая и не факт что оно на 100% будет решать вашу проблему Может лучше заложить бюджет на ещё одну /24 белых и размазать абонентов по ним? это примерно 4000$, что дешевле, чем минимальный по железу СКАТ с нужными фичами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 23 апреля, 2015 · Жалоба Можно из netflow собирать статистику, от кого из клиентов постоянно не переставая идут запросы на 80/443 порт гугловских сетей и натить их всех через отдельный айпишник, пока не полечат свои трояны. Точно будет дешевле вариантов выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 апреля, 2015 · Жалоба Может лучше заложить бюджет на ещё одну /24 белых с утилизацией пулов всё хорошо. примерно на 25к абонентов выделена одна /24. Можно из netflow собирать статистику По нетфлоу проблемно, тк у нас с BRASов/PE трафик до НАТ-фермы долетает по MPLS. Я так понял Juniper MX80 не умеет сэмплить MPLS-трафик направляемый в туннель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 апреля, 2015 · Жалоба rdntw я не понимаю вашей логики. у вас проблема, что за одним IP слишком много народа и поэтому сервисы начинают банить ваш IP. Если сделать в 2 раза меньше народа за одним IP, то вероятность наступать на эти грабли будет куда меньше неужели вы думаете, что DPI вас на 100% избавит от "атак" в сторону сервисов со стороны абонентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 апреля, 2015 · Жалоба rdntw я не понимаю вашей логики. у вас проблема, что за одним IP слишком много народа и поэтому сервисы начинают банить ваш IP. Если сделать в 2 раза меньше народа за одним IP, то вероятность наступать на эти грабли будет куда меньше неужели вы думаете, что DPI вас на 100% избавит от "атак" в сторону сервисов со стороны абонентов? Ну во-первых было написано письмо в Sony :) в ответе было сказано что это у них проблемы c некоторыми провайдерами и что они ее решают, но мы изначально думали что проблема из-за спама пользователей на их сервис. Но так как капча на гугле раньше имела место быть, то значит кто-то все равно гадит. Как мне кажется лучше сразу найти зараженных абонентов, а не идти на уступки убивая под это дело целую /24 + для пользователя будет полезно узнать что у него там "кишит". А DPI может использоваться не только как продвинутый netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 апреля, 2015 · Жалоба + для пользователя будет полезно узнать что у него там "кишит". вы просто сами себе геморрой создаёте, влезая в то, что творится у абонента я дома мой опыт: 60 абонентов на один белый IP и нет жалоб на капчи. на абонента лимит в 5000 активных трансляций. те, у которых тупая вирусня упираются в этот лимит. если вирусня умная, то она не сможет сгенерить большое число запросов в секунду, т.к. будет ждать ответ на каждый запрос а не идти на уступки убивая под это дело целую /24 уступка это трата денег. вы можете потратить кучу денег на DPI. При базе в 25К абонентов это совсем не копеечный комплекс(а трафик вам придётся весь через него гонять, чтоб искать атаки на сервисы) или же прикупить IP-адреса, что дешевле и разово и ежегодный платёж меньше, чем за апдейты на DPI(без которых DPI становится бесполезен в задаче поиска атак) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 апреля, 2015 · Жалоба мой опыт: 60 абонентов на один белый IP и нет жалоб на капчи. на абонента лимит в 5000 активных трансляций. К сожалению наш CGNAT пока не поддерживает PBA и ограничение сессий на пользователя:) точнее мы не рискуем обновляться на тот софт который это поддерживает. Но вашу точку зрения я понял. уступка это трата денег. вы можете потратить кучу денег на DPI. При базе в 25К абонентов это совсем не копеечный комплекс(а трафик вам придётся весь через него гонять, чтоб искать атаки на сервисы) или же прикупить IP-адреса, что дешевле и разово и ежегодный платёж меньше, чем за апдейты на DPI(без которых DPI становится бесполезен в задаче поиска атак) На самом деле есть куча свободных /24, но хотелось бы искоренить проблему) видимо придется ждать софта для правильной настройки НАТа. Но и DPI интересно руководству с точки зрения маркетинга. Хотели убить 2х зайцев так сказать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 апреля, 2015 · Жалоба Но и DPI интересно руководству с точки зрения маркетинга. DPI в РФ в ШПД сетях живёт лишь благодаря Роскомандзору, всё остальное - либо не продаётся(всякие там родительские контроли и выявление вирусов), либо выполняет половину функций BRAS, а именно нарезку скоростей(при этом, обычно, не решая задачи терминации). Кулстори продаванов про "экономию" аплинка за счёт подрезания торрентов становятся всё более сказочными за счёт того, что онлайн-видео имеет всё большую долю в общей полосе и если подрезать онлайн-видео, то такой интернет нафиг никому не сдался rdntw что у вас используется для NAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 апреля, 2015 · Жалоба rdntw что у вас используется для NAT? Juniper MS-MPC, Только сейчас подумал о логах с НАТа, но они не покажут так скажем количество спама на ту же подсеть гугла так как показывают только начало и конец трансляции. Но хоть какая-то статистика о активности будет.. DPI в РФ в ШПД сетях живёт лишь благодаря Роскомандзору, всё остальное - либо не продаётся(всякие там родительские контроли и выявление вирусов), либо выполняет половину функций BRAS, а именно нарезку скоростей(при этом, обычно, не решая задачи терминации). Кулстори продаванов про "экономию" аплинка за счёт подрезания торрентов становятся всё более сказочными за счёт того, что онлайн-видео имеет всё большую долю в общей полосе и если подрезать онлайн-видео, то такой интернет нафиг никому не сдался как-то это совсем уж прям пессимистично Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 апреля, 2015 · Жалоба а чё вы хотели реализовать на DPI? какие именно услуги? в реальности - вы получите нормальную фильтрацию по http url и кучу красивых картинок по распределению трафика по протоколам и т.п., на которые прикольно посмотреть, но толку от них немного. более ничего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 23 апреля, 2015 · Жалоба а чё вы хотели реализовать на DPI? какие именно услуги? 1) как это не подло, но реклама 2) приоритезация определенного трафика для абонента 3) продажи только определенной услуги ( например для человека интернет это только яндекс или скайп) - продавать им эту возможность за N рублей. Такого рода статья была на НАГе или хабре кажется, где каждый сервис представлял услугу для абонента. Опять же я не маркетолог, моя задача внедрить :) как продавать пусть думаю другие перед тем как ставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 апреля, 2015 · Жалоба а чё вы хотели реализовать на DPI? какие именно услуги? 1) как это не подло, но реклама Да глупость это в наше время. Всё самое посещаемое - вк, фб, твиттеры и т.п. давно ушли в https. Ну вставите/замените вы рекламу на сайте nag.ru, который админ-олдфаг не может переделать на https, реально это капля в море. а уж сколько трафика уходит в мобильные приложения... и там вы рекламу тоже не подмените, де-факто там шифрование это стандарт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 апреля, 2015 · Жалоба Но так как капча на гугле раньше имела место быть, то значит кто-то все равно гадит. Оно видит что у вас с одного адреса идёт много запросов и банит, потому что думает что кто то накручивает рекламу, накручивает счётчики, накручивает выдачу в поиске и спамит. ДПИ вам не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 24 апреля, 2015 · Жалоба ДПИ вам не поможет. т.е. с помощью DPI нельзя посмотреть ТОП пользователей от которых исходит аномальная активность, допустим, на серваки гугла? Так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 24 апреля, 2015 (изменено) · Жалоба А зачем Вам для этого DPI? Запустите wireshark/tcpdump/tshark на базе netmap/pf_ring и смотрите сериал "трафик ваших абонов" (та хоть на 10GE потоке), при желании тот же tshark скриптуется просто влет и выявляет кто и зачем гугла мучает. Ей богу, нафига тащить совершенно ненужный крап, когда все решается типовыми открытыми средствами? Даже netflow будь он тупым миллион раз покажет кто сервер домогает, а уж для него средств анализа налабали огогогого :) Изменено 24 апреля, 2015 пользователем pavel.odintsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 24 апреля, 2015 · Жалоба Даже netflow будь он тупым миллион раз покажет кто сервер домогает, а уж для него средств анализа налабали огогогого :) Про нетфлоу был мой первый предложенный вариант руководству. Но его использовать пока не можем, причины указывал выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 24 апреля, 2015 · Жалоба А зачем его сэмплить? Сделайте миррор порт, снимите его на машине c Linux и прямо там либо сразу обработайте либо сгенерируйте netflow тем же ipt_netflow и направьте в анализатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 24 апреля, 2015 · Жалоба А зачем его сэмплить? Сделайте миррор порт, снимите его на машине c Linux и прямо там либо сразу обработайте либо сгенерируйте netflow тем же ipt_netflow и направьте в анализатор. Во сколько обойдутся 2 сервера способных прожевать по 15Г ? естественно дешевле DPI, но так, чтоб понимать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 24 апреля, 2015 · Жалоба rdntw, ну хватит и одного. Во-вторых, любой хлам клсса i7 2600 + 10GE Intel карта на чипе 82599 прожует 10GE трафика не подавившись. Я думаю можно в 30 тыщ уложиться либо найти старый писюк на складе :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 24 апреля, 2015 · Жалоба а вот и новый клиент... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 24 апреля, 2015 · Жалоба Ну ищите динамику, на какой внешний айпи жалуются, смотрите его tcpdump ом, вдруг там правда кто-то остервенело парсит/флудит Google? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 апреля, 2015 · Жалоба т.е. с помощью DPI нельзя посмотреть ТОП пользователей от которых исходит аномальная активность, допустим, на серваки гугла? Так? Объясняю на пальцах. Есть гугл, яндекс, хз кто ещё. Они продают показы рекламы, клики, ранжирую выдачу поисковую по кликам. Всякие особо умные ставят себе дома ботов которые скликивают рекламы конкурентов, кликают по нужной выдаче в поиске и тп. Вот со стороны гугля они выглядят точно так же как ваши юзеры за натом, поэтому он просит вводить капчу. Нужны подробности - ищите на всяких сео мяу форумах, они там этим живут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...