3dfx Опубликовано 7 апреля, 2009 · Жалоба Доброе время суток! Думал никогда не сталкнусь, но пришлось: Принесли вчера счёт за интернет, за март на 150ГБ, что по тарифам юриков достаточно дорого. Начал разбираться, снял отчёты с ISA сервера, там 12.4ГБ. Позвонил провайдеру (небуду пока называть, крупный московский провайдер), они попинали по разным службам, сошлись на том что надо посылать им "претензионное" письмо. Сегодня его составили, указали предыдущие периоды, средний расход траффика и свели с одну таблицу их и наши подсчёты по предыдущим месяцам, они сошлись достаточно точно. В момент начала "флуда" я был как раз в отпуске, м.б. поэтому он небыл замечен. Сегодня промониторил отклонённые пакеты на ISA, выяснилось что с некорого IP (немогу сейчас привести его, т.к. не помню) идёт портскан на наш сервер, т.е. на один порт по многу раз (разное кол-во несколько десятков) за минуту примерно 100-120 запросов. Пакеты дропятся, и в траффик у нас не считаются, т.к. реально никем не потреблён. Теперь принимаю советы по дальнейшим действиям, как со стороны борьбы с подобными неприятностями, так и с юридической стороны - кто виноват и что делать? Более подробную тех. информацию могу предоставить завтра. На вопросс почему вовремя не отреагировал - у меня на сервере этот траффик не учтён т.к. пакеты дропнуты, и пока не был получен счёт от провайдера о перерасходе было неизвестно. Некоторое торможение интернета присутствовало, но ввиду подключения через радиоканал тормоза были списаны на него. Поиском по форуму сейчас занимаюсь, если у кого есть готовые ссылки на похожие темы почитаю с удовольствием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 7 апреля, 2009 · Жалоба Что делать? Включать SNMP, снимающий данные непосредственно с интерфейса, а не с внутреннего периметра стэка, привинчивать каунтеры трафика по СНМП и больше не делать круглых глаз при виде счета. Юристам поручить тщательное изучение договора, при любой зацепке - пункт в претензионное письмо. Если зацепок в итоге ровно ноль - бежать к провайдеру договариваться "мирными" способами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barcha Опубликовано 8 апреля, 2009 · Жалоба Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cae Опубликовано 8 апреля, 2009 · Жалоба Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил.Кто заплатил? Крупный московский провайдер? Он полосу купил, и эти 12Г в этой полосе потерялись. В эпсилон-окрестности. Если он, конечно, крупный, а не "крупный" ;-)Поэтому правильный вариант - беседовать с менеджером контракта и просить списать этот трафик. Если контора платила аккуратно и регулярно, они на это шли даже в эпоху бумов подглючений, а уж сейчас-то... На будущее ставить lancelot, cricket, cacti, torrus или "кого-то из той же династии", крутить алармы и ставить пороги срабатывания. Админу в почту или смс или как удобнее. Потому что сегодня может быть 12Г, а завтра 300. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
3dfx Опубликовано 8 апреля, 2009 · Жалоба Что делать? Включать SNMP, снимающий данные непосредственно с интерфейса, а не с внутреннего периметра стэка, привинчивать каунтеры трафика по СНМП и больше не делать круглых глаз при виде счета. Юристам поручить тщательное изучение договора, при любой зацепке - пункт в претензионное письмо. Если зацепок в итоге ровно ноль - бежать к провайдеру договариваться "мирными" способами. А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут. Меня интересует практика, я нашёл пару случаев на этом форуме. И советы как лучше общаться с провайдером. Ширина канала 3МБит/с. Как обещал даю IP: 84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту. Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными. 62.118.79.133 64.12.164.75 64.12.31.252 74.125.39.91 74.125.39.93 87.248.212.75 87.250.251.63 87.250.251.11 88.212.221.166 - повторяется в течении дня 90.156.153.107 93.191.13.100 93.158.134.190 94.100.178.230 - повторяется в течении дня 194.67.23.153 194.67.52.35 194.67.57.21 194.186.55.40 205.188.253.6 205.188.253.4 Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roling Опубликовано 8 апреля, 2009 · Жалоба Ну во первых надо смотреть чей тот IP с которого портсканят - вашего провайдера или чужой? Если провайдера , то ему же письмо с просьбой разобраться и устранить, если IP чужой, то опять таки можно попытаться найти крайнего (если он конечно не за бугром). Это если административно- бумажные методы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
3dfx Опубликовано 8 апреля, 2009 (изменено) · Жалоба Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил. Согласен. Я кстати за мирный способ, ибо ваш провайдер трафик-то вам таки передал и за него тоже заплатил.Кто заплатил? Крупный московский провайдер? Он полосу купил, и эти 12Г в этой полосе потерялись. В эпсилон-окрестности. Если он, конечно, крупный, а не "крупный" ;-)Поэтому правильный вариант - беседовать с менеджером контракта и просить списать этот трафик. Если контора платила аккуратно и регулярно, они на это шли даже в эпоху бумов подглючений, а уж сейчас-то... На будущее ставить lancelot, cricket, cacti, torrus или "кого-то из той же династии", крутить алармы и ставить пороги срабатывания. Админу в почту или смс или как удобнее. Потому что сегодня может быть 12Г, а завтра 300. Скажем что он крупнейший :) как для юкиков так и для физиков. И не 12гиг а 150 :) 12 мы потребили лично, а остальное нам влили. Ну естейственно что буду алармы теперь крутить. Изменено 8 апреля, 2009 пользователем 3dfx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cae Опубликовано 8 апреля, 2009 · Жалоба Скажем что он крупнейший :) как для юкиков так и для физиков. И не 12гиг а 150 :)Ну для крупнейшего 150 - как слону дробина, они уже, эти крупнейшие, петабайтами меряются, что уж там 150... четверть-E1 в полку, фигня-с...Толцыте менеджера. И отверзется. Кстати, есть шансы, что у крупнейшего есть что-то типа Arbor+Cisco Guard, могущие защищать страждущих от DoS, DDoS и прочего невкусного. Это следует провентилировать с менеджером, опять же, узнать процедуру, как этими вкусностями пользоваться в случае наступления часа Ч. На постоянной основе включать сие, конечно, некошерно, но в момент атаки полезность гораздо выше нуля. А процедуру включения отсева по вашему обращению можно описать. Пока услуга ещё не массова, и положения о ней ещё не все написали ;-) но она уже на рынке есть. И востребована, прямо скажем. Если же у крупнейшего, паче моего чаяния, такой услуги нету, то следует аккуратно поспрашивать окрестности, потому у двух такая услуга имеется. Разумеется, включение такой фильтрации не отменяет собственного наблюдения за своей стороной ;-)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ЯНимагу Опубликовано 8 апреля, 2009 · Жалоба Ширина канала 3МБит/с.Как обещал даю IP: 84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту. Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными. ... skipped ip addr. Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы. А вот мне знакомы :) 84.53.173.144 - Акамаи В списке есть мои ip-адреса. Что-то мне кажется смешной ситуация, когда Акамаи начинает фладить адрес российкого юрлица :) Давайте уж свой айпи, буду смотреть в Цыску. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 8 апреля, 2009 · Жалоба Как обещал даю IP:84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту. Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными. ....... Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы. 84.53.173.144 - принадлежит Akamai Technologies. На их серверах хранится контент крупных производителей софта, тяжелый контент сайтов и т.п. В частности, там также располагаются обновления для ПО Adboe, Microsoft и т.п. У многих наших юриков и физиков иногда встречается подобная ситуация - мегабайты или гигабайты трафика, который "они не качали". Чаще всего это оказывались обновления Adobe. Такая ситуация, предположительно, получается следующим образом: компьютер, где установлено ПО от Adobe, лезет на сервер обновлений Adobe, а тот в свою очередь инициирует соединение от сервера Akamai. И все что оттуда идет - тупо дропается Вашей машиной с ISA, ибо незапрошенный трафик. А дело провайдера - доставить трафик до получателя. По поводу остальных IP, уж как то несильно похоже, что это какой то DDoS. А по объемам можете сказать откуда больше всего было принято (дропнуто)? Особенно интересны ip 64.12.164.75 , 64.12.31.252 , 205.188.253.6 , 205.188.253.4 . Remote port случаем не 5190 ? Провайдер в таком случае и не особо может пойти на встречу, если это явно не DDoS, либо на первый раз списать трафик, либо отпустить его по льготной цене. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ЯНимагу Опубликовано 8 апреля, 2009 · Жалоба Теперь принимаю советы по дальнейшим действиям 1. Оплатить счет оператора. 2. Изменить тарифный план на безлимитный (если денег мало, то достаточно 64 кбит) 3. Принять на работу сисадмина. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 8 апреля, 2009 · Жалоба А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут. После этих слов абсолютно согласен с п.3 предыдущего поста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 апреля, 2009 · Жалоба А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут. Вы неправы. Полоса тоже не резиновая, и как правило с оверсабскрипшн. Соответственно трафик, дошедший до вашего файрвола эту полосу нагрузил, а провайдер её оплатил. А для вас лучший выход - попытаться договориться. И перейти на безлимит. Ибо не в последний раз... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bearchik Опубликовано 8 апреля, 2009 (изменено) · Жалоба А какой смысл считать этот траффик вообще, если он реально не расходуется? Это равносильно счёту непринятых вызовов на телефон, разговора нет, но гудки то идут.если с телефонией уж сравнивать, тогда тут другоевы позвонили бабушке в Зимбабве на ранчо рядом с Хараре, а у нее АОН, АОН поднял трубку и выдает вам гудки(бабушка уехала афроафриканцев пасти на алмазных копях) - тоже самое, разговора нет, а нагрузку на линию вы создаете... Изменено 8 апреля, 2009 пользователем bearchik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 апреля, 2009 · Жалоба Перейти на безлимит и не парится. В мск с этим проблем быть не должно, и по деньгам темболее. Либо выпрашивайте серый IP у провайдера либо чтобы он перекрыл вам входящий со внешки. В ИСА настраиваются алерты, курите глубже, там достаточно подобных настроек, и действия разные прикручиваются. Только толку вам с этого НУЛЬ! Да и смысл вообще в этих алертах, когда реально кроме отключения канала вы ничего сделать не можете. Провайдер вам данные передал, а чё вы с ними сделали - ваша проблема. Также как водоканал вам воду по трубе поставил, а выпили вы её, бутелировали и продали или спустили в канализацию - дело ваше, но воду вы получили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
3dfx Опубликовано 8 апреля, 2009 · Жалоба Как обещал даю IP:84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту. Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными. ....... Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы. 84.53.173.144 - принадлежит Akamai Technologies. На их серверах хранится контент крупных производителей софта, тяжелый контент сайтов и т.п. В частности, там также располагаются обновления для ПО Adboe, Microsoft и т.п. У многих наших юриков и физиков иногда встречается подобная ситуация - мегабайты или гигабайты трафика, который "они не качали". Чаще всего это оказывались обновления Adobe. Такая ситуация, предположительно, получается следующим образом: компьютер, где установлено ПО от Adobe, лезет на сервер обновлений Adobe, а тот в свою очередь инициирует соединение от сервера Akamai. И все что оттуда идет - тупо дропается Вашей машиной с ISA, ибо незапрошенный трафик. А дело провайдера - доставить трафик до получателя. По поводу остальных IP, уж как то несильно похоже, что это какой то DDoS. А по объемам можете сказать откуда больше всего было принято (дропнуто)? Особенно интересны ip 64.12.164.75 , 64.12.31.252 , 205.188.253.6 , 205.188.253.4 . Remote port случаем не 5190 ? Провайдер в таком случае и не особо может пойти на встречу, если это явно не DDoS, либо на первый раз списать трафик, либо отпустить его по льготной цене. 64.12.164.75:1030 UDP 64.12.31.252:3478 UDP 205.188.253.6:80 TCP 205.188.253.4:80 TCP Ширина канала 3МБит/с.Как обещал даю IP: 84.53.173.144 запросы с 80-го порта на 46183-53440, в среднем по 40-42 запроса на порт, до 100 запросов в минуту. Со следующих IP сканируются порты из того же диапазона и совпадающие по очереди с вышеуказанным IP, т.е. можно их назвать вспомогательными. ... skipped ip addr. Может, кому то они знакомы? Ну или по крайней мере можете занести в блек листы. А вот мне знакомы :) 84.53.173.144 - Акамаи В списке есть мои ip-адреса. Что-то мне кажется смешной ситуация, когда Акамаи начинает фладить адрес российкого юрлица :) Давайте уж свой айпи, буду смотреть в Цыску. Отписал в ПС. И ещё попрошу не советовать нанять админа, а помочь разобраться в ситуации. Или все сразу умными родились? Если я каких то вещей незнаю или не понимаю, объясните - буду знать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 8 апреля, 2009 · Жалоба 64.12.164.75:1030 UDP64.12.31.252:3478 UDP 205.188.253.6:80 TCP 205.188.253.4:80 TCP это АОЛ. в этом диапазоне живут сервера ICQ. может кто-то по аське файло крупное кидает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
3dfx Опубликовано 8 апреля, 2009 · Жалоба 64.12.164.75:1030 UDP64.12.31.252:3478 UDP 205.188.253.6:80 TCP 205.188.253.4:80 TCP это АОЛ. в этом диапазоне живут сервера ICQ. может кто-то по аське файло крупное кидает? У меня в отчёте ИСЫ это не отображается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 8 апреля, 2009 · Жалоба а может вас использовали как прокси для брута номерков? какойнибудь приватный троян спокойно живет на сервере. ЗЫ 5190 - не критерий. на 80 и 443 замечательно можно цепляться. 94.100.178.230 - счетчики мейл.ру. может накрутка через того же трояна Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 8 апреля, 2009 · Жалоба продолжаем копать C:\Documents and Settings\woddy>nslookup static.terrhq.ru Non-authoritative answer: Name: static.terrhq.ru Address: 88.212.221.166 сервер со счетчиками. видимо тоже накрутка 93.191.13.100 updates.pis.parallels.com какая-то антивирусная хрень nslookup liveupdate.symantec.com Non-authoritative answer: Name: a568.d.akamai.net Addresses: 84.53.173.91, 84.53.173.105, 84.53.173.106, 84.53.173.114 84.53.173.115, 84.53.173.144 Aliases: liveupdate.symantec.com, liveupdate.symantec.d4p.net symantec.georedirector.akadns.net тоже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 8 апреля, 2009 · Жалоба 87.250.251.11 - yandex.ru [87.250.251.11] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
3dfx Опубликовано 8 апреля, 2009 · Жалоба а может вас использовали как прокси для брута номерков? какойнибудь приватный троян спокойно живет на сервере. ЗЫ 5190 - не критерий. на 80 и 443 замечательно можно цепляться. 94.100.178.230 - счетчики мейл.ру. может накрутка через того же трояна Опять же почему не видно трафика в отчётах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xbb Опубликовано 8 апреля, 2009 · Жалоба Опять же почему не видно трафика в отчётах? ISA для подсчет трафика не годится. В отчетах будет присутствовать только трафик прошедший через нее, к тому же очищенный от заголовков IP, а то, что отреджектила ISA в отчеты не попадает. Насчет троянов сервер проверили? Если сидит, то очень вероятно, что трафик даже в ISA не попадает, а принимается и уходит с интерфейса, что смотрит во внешний мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
3dfx Опубликовано 9 апреля, 2009 · Жалоба Опять же почему не видно трафика в отчётах?ISA для подсчет трафика не годится. В отчетах будет присутствовать только трафик прошедший через нее, к тому же очищенный от заголовков IP, а то, что отреджектила ISA в отчеты не попадает. Насчет троянов сервер проверили? Если сидит, то очень вероятно, что трафик даже в ISA не попадает, а принимается и уходит с интерфейса, что смотрит во внешний мир. Проверил, нет там ничего. Как поумнее считать траффик на интерфейсе с полным логгированием? Поставить в разрыв чтото "прозрачное"? Может бывают какие нибудь железки отчёты с которых можно использовать как доказательство? Посоветуйте что нибудь простое и надёжное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neyros Опубликовано 9 апреля, 2009 · Жалоба Проверил, нет там ничего. Как поумнее считать траффик на интерфейсе с полным логгированием? Поставить в разрыв чтото "прозрачное"? Может бывают какие нибудь железки отчёты с которых можно использовать как доказательство? Посоветуйте что нибудь простое и надёжное. Любой управляемый свитч L2, понимающий SNMP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...