Перейти к содержимому
Калькуляторы

Массовые пропуски 14-04-2018

Добрый день!

 

Кто-нибудь зафиксировал массовые пропуски запрещенных ресурсов 14-04-2018 примерно с 14:00 до 17:00 МСК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, то же самое в то же время. При этом по логу самого СКАТа обращения к "облаку" за списком проходили успешно, но с отсутствием изменений для загрузки. Похоже на то, что они там прозевали обновления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, _Wolf_ сказал:

Да, то же самое в то же время. При этом по логу самого СКАТа обращения к "облаку" за списком проходили успешно, но с отсутствием изменений для загрузки. Похоже на то, что они там прозевали обновления.

Не прозевали, там пропущены давние записи из реестра, и все прокурорские... 7%!

Что-то именно с этими записями похоже накосячили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 minutes ago, ioann said:

Не прозевали, там пропущены давние записи из реестра, и все прокурорские... 7%!

Что-то именно с этими записями похоже накосячили.

Совершенно не важно, что они "давние записи". К "давним записям" добавляются новые IP при этом номер записи и дата внесения в реестр остаются старыми. Так всегда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну факт в том, что косяк имеет место быть, и неважно как именно он был реализован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

39 пропусков. Ни о каких 7% речи и быть не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

52 минуты назад, snvoronkov сказал:

39 пропусков. Ни о каких 7% речи и быть не может.

Вам мало?

У меня в отчете Ревизора зафиксировано именно 7%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, snvoronkov said:

39 пропусков. Ни о каких 7% речи и быть не может.

Все зависит, видимо, от конкретного Ревизора - когда он обновил свой список и в какое время выполнял проверку. У меня по трём цифры "пропусков" совершенно разные, но они есть. И еще - "скатовцы" когда-то проводили исследование - на "ревизоры" часто обновления загружаются раньше, чем становятся доступны для операторов. Иногда разница несколько часов. Пруф ищите в их ВиКи.

Изменено пользователем _Wolf_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, _Wolf_ сказал:

У меня по трём цифры "пропусков" совершенно разные, но они есть.

Можете сказать какие цифры получились?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как-то вот так получилось:

Генпрокуратура 2704 18%
ФНС 16 < 1%
суд 2 < 1%
Минкомсвязь 1 < 1%
Всего 2723

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, sendernew сказал:

Как-то вот так получилось:

Генпрокуратура 2704 18%

Офигеть!

 

У меня так:

Генпрокуратура 1102 7%
Всего 1102 -

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я хотел было им в поддержку написать, нашел у себя доступ к it-grad, но что-то там даже упоминания нет про vasexperts, только статьи про виртуальные машины.

Кто-нибудь в курсе, это оно вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, sendernew сказал:

Я хотел было им в поддержку написать, нашел у себя доступ к it-grad, но что-то там даже упоминания нет про vasexperts, только статьи про виртуальные машины.

Пишите-пишите. Это оно. Только я ответа по проблеме пропусков в Full NetFlow вот уже неделю жду. :-)

 

NBD, блин. Уже NBW. Прослойка it-grad устойчива к внешним воздействиям и вот уже второй год успешно обороняет vasexperts от проблем пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 минут назад, sendernew сказал:

Кто-нибудь в курсе, это оно вообще?

Да, это оно.

 

2 минуты назад, snvoronkov сказал:

Пишите-пишите. Это оно. Только я ответа по проблеме пропусков в Full NetFlow вот уже неделю жду. :-)

Угу, у меня уже 3 кейса по пропускам открыто, и еще 1 про netflow. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишите, пишите... у меня уже 3-й месяц весит кейс по подобным же массовым пропускам с ими же поставленным приоритетом " 2 - High " который они вообще проигнорировали - даже не ответили ни слова после постановки заявки в работу и назначения приоритета. Третий месяц пошел! А вы про NBD!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О чудо - мне ответили на вчерашний кейс! Таки NBD.

Но сам ответ - предложили включить кликстрим :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Друзья, судя по ответу ТП проблему скатовцы не признают.

Открывайте свои кейсы, ссылайтесь на мой INC085139!

Пишите здесь у кого еще были множественные пропуски 14-04-2018 примерно с 14:00 до 17:00 МСК!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У них, походу, сегодня звезда в сеть пришла:

 

Цитата

$ mtr -r -c 5 vasexperts.ru
Start: Tue Apr 17 14:57:28 2018
HOST: sv                          Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|--                                             0.0%     5  135.2  27.8   0.4 135.2  60.1
  2.|--                                            0.0%     5    0.5   0.7   0.5   1.2   0.0
  3.|-- tmn06.tmn29.transtelecom.  0.0%     5    1.4   1.4   1.0   2.0   0.0
  4.|-- spb06.spb30.transtelecom.  0.0%     5   43.8  43.9  43.8  44.0   0.0
  5.|-- Prometey-gw.transtelecom.  0.0%     5   40.8  41.8  40.8  45.4   1.9
  6.|-- MX480-MM11.p2p.MX240-B57.  0.0%     5   40.7  40.8  40.7  41.0   0.0
  7.|-- IT-GRAD-AS.AS48096.ptspb.  0.0%     5   41.3  45.2  41.3  60.2   8.4
  8.|-- fw-5-200-46-110.it-grad.r  0.0%     5  128.1 157.3 116.2 268.4  62.9
  9.|-- vasexperts.ru             40.0%     5  109.4 135.4 109.4 154.9  23.4

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vasexperts.ru таскается со вчерашнего вечера. Заглавная страничка wget-ом грузится примерно 2 минуты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, snvoronkov сказал:

vasexperts.ru таскается со вчерашнего вечера. Заглавная страничка wget-ом грузится примерно 2 минуты.

разрешилось с vasexperts.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, ioann сказал:

Друзья, судя по ответу ТП проблему скатовцы не признают.

Открывайте свои кейсы, ссылайтесь на мой INC085139!

Пишите здесь у кого еще были множественные пропуски 14-04-2018 примерно с 14:00 до 17:00 МСК!

Могу так сказать по 14 и 15, есть например клиент с ревизором (верхний уровень) и прикрепленные к нему с ревизорами.
у Клиента отчет - 0%, у некоторых прикреленных не у всех от 1% до 3% не у всех. Все идет через DPI вопрос угадайте что не так ?
Если говорить о DPI то при закачке контролируются контрольные суммы, т.е. список не может придти укороченный или битый, его не загрузит DPI.
Далее если в алерт логе все хорошо и в стат логе нет перегруза в это время, т.е. нет ошибок. Надо искать в чем проблема в сети. 

 

Для того что бы еще точнее сказать в DPI или нет и не гадать предлагаю настроить логирование кликстрима.

Копирую из этого SD, будет полезно для всех, снятие кликстрим: 
http://vasexperts.ru/wiki/doku.php?id=dpi:dpi_options:base_functionality:opt_li:li_ipfix:start 
http://vasexperts.ru/wiki/doku.php?id=dpi:dpi_components:utilities:ipfixreceiver 

пример файла конфигурации для ipfixreceiver: 
cat /etc/dpiui/ipfixreceiver.conf 
[loggers] 
keys=root 

[handlers] 
keys=ipfixreceiverlogger 

[formatters] 
keys=ipfixreceiverlogger 

[logger_root] 
level=DEBUG 
handlers=ipfixreceiverlogger 

[handler_ipfixreceiverlogger] 
#class=StreamHandler 
level=DEBUG 
formatter=ipfixreceiverlogger 
#args=(sys.stdout,) 
class=FileHandler 
args=('/var/log/dpiuiurl.log', 'a+') 

[formatter_ipfixreceiverlogger] 
format=%(asctime)s - %(name)s - %(levelname)s - %(message)s 
datefmt= 

[connect] 
protocol=udp 
host=176.74.8.107 
port=1500 

[dump] 
rotate_minutes=10 
processcmd=gzip %%s 
dumpfiledir=/var/dump/dpiui/ipfixurl/ 
buffer_size=25000 

[InfoModel] 
InfoElements = timestamp, 43823, 1001, SECONDS, True 
login, 43823, 1002, STRING 
source_ip4, 43823, 1003, IP4ADDR, True 
destination_ip4, 43823, 1004, IP4ADDR, True 
host, 43823, 1005, STRING 
path, 43823, 1006, STRING 
referal, 43823, 1007, STRING 
user_agent, 43823, 1008, STRING 
cookie, 43823, 1009, STRING 
session_id, 43823, 2000, INT64, True 
LOCKED, 43823, 1010, INT64, True 

[ExportModel] 
Mode = File 

[ExportModelFile] 
Delimiter = \t 
ExportElements = timestamp, seconds, %%d/%%m/%%Y-%%H:%%M:%%S 
login 
source_ip4, decodeipv4 
destination_ip4, decodeipv4 
host, decodehost 
path, decodepath 
referal, decodereferer 
session_id 
LOCKED

 

LOCKED <> 0 означает ресурс заблокирован.
Надеюсь так проще будет разобраться при пропусках.

По этому файлу легко посмотреть был ли запрос, заблокировал ли его DPI.

Если не нашли см. нет ли альтернативных путей в сети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, Bigmazy сказал:

Для того что бы еще точнее сказать в DPI или нет и не гадать предлагаю настроить логирование кликстрима.

Все ясно и без гадания и без кликстрима - проблемный трафик зафиксирован netflow, снятым со Ската.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, ioann сказал:

проблемный трафик зафиксирован netflow, снятым со Ската.

А можно подробней?

П.С. За 14 число пропусков нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, bike сказал:

А можно подробней?

П.С. За 14 число пропусков нет.

Берем запись о нарушении из отчета Ревизора, находим соответствующий flow в дампе трафика Ревизора (по времени, ip, URL), видим, что контент действительно выдался и редиректа на заглушку не было, находим соответствующий flow в netflow, снятом со Ската (на nfsen).

Наличие там такого flow однозначно свидетельствует о том, что трафик прошел через Скат, а не мимо, как нам пытаются доказать.

 

Скажите - у Вас настроена ежеминутная проверка обновлений из облака?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, ioann сказал:

Скажите - у Вас настроена ежеминутная проверка обновлений из облака?

timeout_check_new_bl=1

 

16 минут назад, ioann сказал:

Берем запись о нарушении из отчета Ревизора, находим соответствующий flow в дампе трафика Ревизора (по времени, ip, URL), видим, что контент действительно выдался и редиректа на заглушку не было, находим соответствующий flow в netflow, снятом со Ската (на nfsen).

Наличие там такого flow однозначно свидетельствует о том, что трафик прошел через Скат, а не мимо, как нам пытаются доказать.

Спасибо, понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.