Перейти к содержимому
Калькуляторы

Подозрительный, нежелательный трафик в сети

Доброго времени суток, уважаемые.

Последнее время в нашей небольшой провайдерской сети участились проблемы с гуглом и PSN, на первом то и дело просит ввести код из-за "нежелательного трафика", либо вообще блокируют, а на PSN зачастую невозможно зайти.

Все абоненты висят у нас за натом на двух IP-шниках. Приблизительно по 300 человек на IP.

Будьте добры подсказать, с чем это связано и как можно вычислить пакастников, если дело в них, а не в количестве человек на один IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не факт что кто-то пакостит . Просто когда сидит много клиентов за одним ip гугл начинает блокировать и заставляет вводить капчу. Но есть одно лекарство от этого , Нужно во все http запросы к google добавлять http заголовок X-Forwarded-For c приватным адресом вашего клиента. Это должно решить проблему

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

аналогичные проблемы с PSN.

 

заложили бюджет на СКАТ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

аналогичные проблемы с PSN.

 

заложили бюджет на СКАТ...

 

и как СКАТ в этом поможет? будете выявлять "плохих" пользователей и блокировать их? ну ерунда же полнейшая и не факт что оно на 100% будет решать вашу проблему

 

Может лучше заложить бюджет на ещё одну /24 белых и размазать абонентов по ним? это примерно 4000$, что дешевле, чем минимальный по железу СКАТ с нужными фичами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно из netflow собирать статистику, от кого из клиентов постоянно не переставая идут запросы на 80/443 порт гугловских сетей и натить их всех через отдельный айпишник, пока не полечат свои трояны. Точно будет дешевле вариантов выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может лучше заложить бюджет на ещё одну /24 белых

с утилизацией пулов всё хорошо. примерно на 25к абонентов выделена одна /24.

thumb.png

 

Можно из netflow собирать статистику

По нетфлоу проблемно, тк у нас с BRASов/PE трафик до НАТ-фермы долетает по MPLS.

Я так понял Juniper MX80 не умеет сэмплить MPLS-трафик направляемый в туннель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdntw

я не понимаю вашей логики. у вас проблема, что за одним IP слишком много народа и поэтому сервисы начинают банить ваш IP. Если сделать в 2 раза меньше народа за одним IP, то вероятность наступать на эти грабли будет куда меньше

 

неужели вы думаете, что DPI вас на 100% избавит от "атак" в сторону сервисов со стороны абонентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdntw

я не понимаю вашей логики. у вас проблема, что за одним IP слишком много народа и поэтому сервисы начинают банить ваш IP. Если сделать в 2 раза меньше народа за одним IP, то вероятность наступать на эти грабли будет куда меньше

 

неужели вы думаете, что DPI вас на 100% избавит от "атак" в сторону сервисов со стороны абонентов?

 

Ну во-первых было написано письмо в Sony :) в ответе было сказано что это у них проблемы c некоторыми провайдерами и что они ее решают, но мы изначально думали что проблема из-за спама пользователей на их сервис.

Но так как капча на гугле раньше имела место быть, то значит кто-то все равно гадит. Как мне кажется лучше сразу найти зараженных абонентов, а не идти на уступки убивая под это дело целую /24 + для пользователя будет полезно узнать что у него там "кишит".

 

 

А DPI может использоваться не только как продвинутый netflow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+ для пользователя будет полезно узнать что у него там "кишит".

вы просто сами себе геморрой создаёте, влезая в то, что творится у абонента я дома

мой опыт: 60 абонентов на один белый IP и нет жалоб на капчи. на абонента лимит в 5000 активных трансляций. те, у которых тупая вирусня упираются в этот лимит. если вирусня умная, то она не сможет сгенерить большое число запросов в секунду, т.к. будет ждать ответ на каждый запрос

 

а не идти на уступки убивая под это дело целую /24

уступка это трата денег. вы можете потратить кучу денег на DPI. При базе в 25К абонентов это совсем не копеечный комплекс(а трафик вам придётся весь через него гонять, чтоб искать атаки на сервисы) или же прикупить IP-адреса, что дешевле и разово и ежегодный платёж меньше, чем за апдейты на DPI(без которых DPI становится бесполезен в задаче поиска атак)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мой опыт: 60 абонентов на один белый IP и нет жалоб на капчи. на абонента лимит в 5000 активных трансляций.

К сожалению наш CGNAT пока не поддерживает PBA и ограничение сессий на пользователя:) точнее мы не рискуем обновляться на тот софт который это поддерживает.

Но вашу точку зрения я понял.

 

 

уступка это трата денег. вы можете потратить кучу денег на DPI. При базе в 25К абонентов это совсем не копеечный комплекс(а трафик вам придётся весь через него гонять, чтоб искать атаки на сервисы) или же прикупить IP-адреса, что дешевле и разово и ежегодный платёж меньше, чем за апдейты на DPI(без которых DPI становится бесполезен в задаче поиска атак)

 

На самом деле есть куча свободных /24, но хотелось бы искоренить проблему) видимо придется ждать софта для правильной настройки НАТа.

Но и DPI интересно руководству с точки зрения маркетинга. Хотели убить 2х зайцев так сказать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но и DPI интересно руководству с точки зрения маркетинга.

 

DPI в РФ в ШПД сетях живёт лишь благодаря Роскомандзору, всё остальное - либо не продаётся(всякие там родительские контроли и выявление вирусов), либо выполняет половину функций BRAS, а именно нарезку скоростей(при этом, обычно, не решая задачи терминации). Кулстори продаванов про "экономию" аплинка за счёт подрезания торрентов становятся всё более сказочными за счёт того, что онлайн-видео имеет всё большую долю в общей полосе и если подрезать онлайн-видео, то такой интернет нафиг никому не сдался

 

rdntw

что у вас используется для NAT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdntw

что у вас используется для NAT?

Juniper MS-MPC,

Только сейчас подумал о логах с НАТа, но они не покажут так скажем количество спама на ту же подсеть гугла так как показывают только начало и конец трансляции.

Но хоть какая-то статистика о активности будет..

 

 

DPI в РФ в ШПД сетях живёт лишь благодаря Роскомандзору, всё остальное - либо не продаётся(всякие там родительские контроли и выявление вирусов), либо выполняет половину функций BRAS, а именно нарезку скоростей(при этом, обычно, не решая задачи терминации). Кулстори продаванов про "экономию" аплинка за счёт подрезания торрентов становятся всё более сказочными за счёт того, что онлайн-видео имеет всё большую долю в общей полосе и если подрезать онлайн-видео, то такой интернет нафиг никому не сдался

как-то это совсем уж прям пессимистично

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а чё вы хотели реализовать на DPI? какие именно услуги?

в реальности - вы получите нормальную фильтрацию по http url и кучу красивых картинок по распределению трафика по протоколам и т.п., на которые прикольно посмотреть, но толку от них немного. более ничего

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а чё вы хотели реализовать на DPI? какие именно услуги?

1) как это не подло, но реклама

2) приоритезация определенного трафика для абонента

3) продажи только определенной услуги ( например для человека интернет это только яндекс или скайп) - продавать им эту возможность за N рублей.

 

Такого рода статья была на НАГе или хабре кажется, где каждый сервис представлял услугу для абонента.

Опять же я не маркетолог, моя задача внедрить :) как продавать пусть думаю другие перед тем как ставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а чё вы хотели реализовать на DPI? какие именно услуги?

1) как это не подло, но реклама

 

Да глупость это в наше время. Всё самое посещаемое - вк, фб, твиттеры и т.п. давно ушли в https. Ну вставите/замените вы рекламу на сайте nag.ru, который админ-олдфаг не может переделать на https, реально это капля в море.

а уж сколько трафика уходит в мобильные приложения... и там вы рекламу тоже не подмените, де-факто там шифрование это стандарт

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но так как капча на гугле раньше имела место быть, то значит кто-то все равно гадит.

Оно видит что у вас с одного адреса идёт много запросов и банит, потому что думает что кто то накручивает рекламу, накручивает счётчики, накручивает выдачу в поиске и спамит.

ДПИ вам не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ДПИ вам не поможет.

т.е. с помощью DPI нельзя посмотреть ТОП пользователей от которых исходит аномальная активность, допустим, на серваки гугла? Так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем Вам для этого DPI? Запустите wireshark/tcpdump/tshark на базе netmap/pf_ring и смотрите сериал "трафик ваших абонов" (та хоть на 10GE потоке), при желании тот же tshark скриптуется просто влет и выявляет кто и зачем гугла мучает. Ей богу, нафига тащить совершенно ненужный крап, когда все решается типовыми открытыми средствами?

 

Даже netflow будь он тупым миллион раз покажет кто сервер домогает, а уж для него средств анализа налабали огогогого :)

Изменено пользователем pavel.odintsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Даже netflow будь он тупым миллион раз покажет кто сервер домогает, а уж для него средств анализа налабали огогогого :)

Про нетфлоу был мой первый предложенный вариант руководству. Но его использовать пока не можем, причины указывал выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем его сэмплить? Сделайте миррор порт, снимите его на машине c Linux и прямо там либо сразу обработайте либо сгенерируйте netflow тем же ipt_netflow и направьте в анализатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем его сэмплить? Сделайте миррор порт, снимите его на машине c Linux и прямо там либо сразу обработайте либо сгенерируйте netflow тем же ipt_netflow и направьте в анализатор.

Во сколько обойдутся 2 сервера способных прожевать по 15Г ? естественно дешевле DPI, но так, чтоб понимать..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdntw, ну хватит и одного. Во-вторых, любой хлам клсса i7 2600 + 10GE Intel карта на чипе 82599 прожует 10GE трафика не подавившись. Я думаю можно в 30 тыщ уложиться либо найти старый писюк на складе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот и новый клиент...

thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну ищите динамику, на какой внешний айпи жалуются, смотрите его tcpdump ом, вдруг там правда кто-то остервенело парсит/флудит Google?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. с помощью DPI нельзя посмотреть ТОП пользователей от которых исходит аномальная активность, допустим, на серваки гугла? Так?

Объясняю на пальцах.

Есть гугл, яндекс, хз кто ещё.

Они продают показы рекламы, клики, ранжирую выдачу поисковую по кликам.

Всякие особо умные ставят себе дома ботов которые скликивают рекламы конкурентов, кликают по нужной выдаче в поиске и тп.

Вот со стороны гугля они выглядят точно так же как ваши юзеры за натом, поэтому он просит вводить капчу.

Нужны подробности - ищите на всяких сео мяу форумах, они там этим живут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.