Паразиты в сети

[BeS]

Как можно избавиться ( отловить, уличить и т. д.) паразитирующие сетки на тебе?

 

>=== паразит1 (домовая сетка)---------

----{оперетор}<=====>{оперетор}

----- паразит2 (домовая сетка)--------

 

Т.е. не вкладывая денег в строительство магистралей (согласование, оптика, под землей , девайсы и так далее ), две сетки заключили договор и присели на канал оператора как на транспортный.

При этом сами продают трафик, т.е. паразит1 имеет халявный трафик и желает его перегнать паразиту2.

 

В планы оператора такий расклад не входит, абасалютно.

 

Какими мерами можно: поймать за руку, заблокировать, пресечь, прочее.....? Как можно вообще отследить сие?

[Guest]

сильно зависит от используемого оборудования.

[BeS]

Вопрос именно так и стоит: как? Варианты предлагать ЛЮБЫЕ.

[Guest]

1.отрубить и не париться, сказать что атака была от них и логи намутить...

2. просто отрубить

3. на серваке ограничить скорость до пары килобайт

4. периодически их блокировать на пол часика пока они сами не взвоют, ну можно ещё с вечера до утра блокировать...., свитч у которого можно отрубать удалённо порты можно купить чуть больше 100 баксов, правда какой-нибудь елайн, еслм на хороший денег нет...

[terapeut]

А вот какими методами вы собираетесь пользоваться, когда эти паразиты подадут на вас в суд за то, что вы им намеренно строите препоны в пользовании услугой, за которую они вам заплатили? Я ведь правильно понял? Это два подключенных к ваю юзверя, их почему-либо не устраивает ваша цена за внешний траффик (например есть халявный канал =) и один юзер даёт возможность другому юзверю (брату, свату, другу) пользоваться этим каналом, используя вашу локалку как транспорт? А если он принесёт домой на сидюках 1500 фильмов, выкачанных где-то на работе и расшарит их на своём компе, вы тоже его отключите? А если игровой сервер поднимет?

Он же не занимается незаконным предпринимательством, а использует на своё усмотрение предоставленную вами услугу. Так что либо вы чего-то не дописали, либо у юзверя есть повод на вас обидеться =)

 

Как оперативное лобовое решение -- можно поставить между юзером и свичом роутер-мыльницу с возможностью фильтрации по адресам/портам/протоколам, или полноценный PC-роутер, но это все элементарно обходится туннелированием, так что правильне "в консерватории подправить". Если сильно жаба давит -- ввести плату за локальный траффик, либо его ограничивать по скорости, либо вводить в договор специальный пункт, запрещающий использование вашей локалки для трансфера данных извне и т.п., а потом уже действовать официально, а не отрубать им втихаря соски. И вообще, этот вопрос тут кажется не раз обсуждался.

[umike]

Вопрос именно так и стоит: как? Варианты предлагать ЛЮБЫЕ.

Прикрыть/настучать на халяву или повоздействовать на её источник. Типа "а вы знаете, что ххх Ваш халявный трафф продает за бабки?"

 

ну и как уже сказано ударить

1. по деньгам

а)ввести оплату за внутренний или за исходящий траффик. Пусть мизерную, но ввести.

б) сделать столько-то внутреннего бесплатно, а сверх - платно. Например 5Гб внутреннего бесплатно, а сверх того-платно.

Они либо удушатся и поругаются либо ты с этого будешь иметь таньгу.

 

2. по качеству услуг - зарезать чем-нить канал между ними чтобы и работать работало, но и много прокачать нельзя. Какой-нить роутер/каталист/свитч умный воткнуть и зарезать. Если в договоре не указано качество услуг (пропускная способность) в Х кбит/с, то почему бы и нет? Короче смотри свои договора и думай.

Возможно они скоро сами поймут, что не надо наглеть.

 

ну еще можно провести акцию типа "смешные цены на подключение" и подрубить паразитов2, уведя их от паразитов1.

 

Или просто тупо нагадить прокачав типа от паразитов2 через паразитов1 траффика (вирус типа). Если паразиты2 его покупают у паразитов1, то пусть подерутся кто кого кинул... Но это уж совсем злым :-[ надо быть.

Еще используемые ими средства заткнуть как-нить можно. Небось вингейт каой-нить...Только замутят они впн-тунель шифрованый и отдыхай тогда :)

[umike]

А если он принесёт домой на сидюках 1500 фильмов, выкачанных где-то на работе и расшарит их на своём компе, вы тоже его отключите? А если игровой сервер поднимет?

Он же не занимается незаконным предпринимательством, а использует на своё усмотрение предоставленную вами услугу. Так что либо вы чего-то не дописали, либо у юзверя есть повод на вас обидеться =)

если он выложит фильмов, или тем более игровой сервер поднимет, то пишешь ему письмо типа "компания ААА, обладающая исключительным правом и лицензиями на использование и распространение игрового ПО фирмы БББ настоятельно просит закрыть игровой сервер ВВВ находящийся на машине ГГГ по адресу Д.Д.Д.Д. В противном случае поскольку вы своими деяниями нарушаете авторские права и наносите финансовый ущерб юридическим лицам, которые являются владельцами [сформулировать мысль далее], а также в соответствии с п. Х.х договора (наверняка есть пункт за который можно жестко зацепиться) доступ Вам будет приостановлен". Если ты прав, и есть за что зацепиться в договоре, то будет он биться как рыба об лед. Если создать прецедент с одним, остальные неглупые поймут что это серьезно.

 

По моему это вопрос больше юридический, чем технический.

[terapeut]

Я в общем-то и напирал больше на юридический аспект =)

А игровых серверов масса есть бесплатных, и вообще это я к примеру -- мало ли как можно нагенерить локального траффка...

[BeS]

Да, "паразиты" не братья, а сегменты одной сети, котрые не могут дотянуться "друг до друга", и придумали такой вариант. В планы оператора такие "друганы" не входят. Ограничивать трафик внутри , брать за него деньги тоже не дело. Ибо в сети стояит 2 файл-сервера с фильмами, сервер бродкаста (радиовещания на 4 pl) + мп3 архив, 2 игровых сервера с массой онлайн игр, ближ. планах DBI загнать с тарелки, 3 канала. Короче ограничение не годится, все делали для широкого канала. Конечно "паразиты" заключат договор и юридически будут правы если их отключить по подозрению. Нужно иметь не подозрение, а железные доказательства, хотя бы для себя. Ибо в договоре есть пункт оговаривающие невозможность такой деятельности.

Вот и нужен совет "засекания" тоннелей, проксей и прочей байды у себя на магистралях. А лучше создание препятсвий их использования.

Вариан "заказное убийство решит ваши проблемы, незадорого" прошу не предлагать.

Хочется услышать практические советы от людей знающих.

[Andrew40]

А с юридической точки зрения, тут мало что можно сделать, во всяком случае, на 100% законно.

По аналогии с телефонией - почти все коммерческие операторы в договорах с абонентами пишут о запрете пользования услугами далней связи и call-back, но реально запретить это нельзя - я звоню на номер, прозвон оператор должен предоставить в соответствии с лицензией, а что стоит за номером - Вас не касается!!! И судебные преценденты были!

Кроме того мониторинг траффика - это, вообще говоря, перлюстрация траффика, а без соответствующей санкции, она совершенно не законна, как и прослушка телефонных переговоров. Прецендентов вроде пока не было, потому как пока никому это не надо, но...

Судя по всему, вы стали заложником политики предоставления бесплатных услуг. У сложно "юридически чисто" прикрыть левак. Можно однаружить/зафильтровать и "динамить" с ответами на претензию абонента - "почему с адреса А на адрес Б не проходит UDP по порту В?" - "Разбираемся...", но это нарушение закона "О связи", хотя в малом Internet провайдинге реально не наказуемое.

[BeS]

Т.е. путей решения обнаружения "левака" программно-аппаратного нет? или вопрос лишь "цены вопроса"? Насчет беспланых услуг. Наши услуги могут стоить хоть сколько , они "паразитам" не нужны. Им нужен канал. Платить за внутренний трафик? Это имелось ввиду под бесплатной услугой?

Насчет "обнаружить, зафильровать" можно развить эту тему более шире? Как оператор будет выходить из ситуации с нарушением "Закона о Связи", пока не ведомо, но есть идеи на этот счет.

Пока нужно понять КАК , ЧЕМ и ЧТО фильтровать.

[Guest]

А почему бы не ввести плату именно за транзитный траффик через Ваши магистрали?

[terapeut]

Зафильтровать, имхо, можно - это не является перлюстрацией. Но ведь какие-то виды траффика вы всё равно оставите, иначе зачем сеть? А раз так, то паразиты смогут затуннелировать свой паразитный траффик через что угодно. Сейчас уже даже писать ничего не понадобиться - всё уже есть. Хочешь - через DNS, хочешь - через ARP-запросы, через пыньги и т.п. Вариант тут один - ставить фильтр и наблюдать, потом опять ставить - и опять наблюдать и так пока не сдастся одна из сторон. Даже если закрыть совсем прямую связь между этими паразитами - они смогут прокинуть тоннель через сервак или третью машину, например, используя подмену обратного адреса. Я бы на их месте, только раззадорился, чисто из спортивного интереса. Тем более если это две сетки и они уже как-то кем-то админятся и настроили дополнительный канал и этот паразитный трансфер через вас -- спецы там видимо есть.

[Roman Ivanov]

Watson - это эллементарно.

 

В договоре почти всегда есть пункти, запрещающий перепродажу услуги третьим лицам.

 

Отсюда выходит - если он только для себя трафф таскает через другого - ничего не поделаешь с ним. А если на продажу - тот он использует _твою услугу _ для перепродажи. Даже в случае локального траффика.

 

Я это проще решил. Каждый дом - отдельный VLAN. Сервера в untagged портах.

=> для доступа с серверами у всех хорошая скорость, друг с другом - хорошая в пределах дома. Если надо в соседний - то через INET и шейпер.

В пределах дома - контроллировать проще.

[BeS]

Не, такой вариант не пойдет. Ибо тебя пускать к свое халяве они не собираются.

"Тормозить" магистраль , но делать домовой скоростной- тоже не выход.

Фильтровать трафик.... хм..., а если они влан поднимают, чего фильтровать? порты загасить, так можно настроить на какой хочется, кажется. Даже доступный 8080 или 21, 110, 995.

Может отслеживать тоннель на магистрали? Или еще что-то.

Капец тема -)))

[web]

ИМХО определение тунеля:

продолжительными периодами или постоянный, определенного размера трафик, по определенным портам/протоколам, между определенными адресами.

 

Прикрыть - их всего что я знаю, легальных способов мало если не описан сей прецедент в договоре. (Кляузничество - уже обсуждалось не в этой теме).

 

Можно попробовать перезаключить договор.

Поговорить с "друзьями" и/или урезать трафик их тунелю что-бы не мешался.

[BeS]

В Договоре сия "деятельность" оговорена.

Но подписавший не спешит его выполнять, как обычно. Вламываться в квартиру клиента и смотреть, что у него запущенно на машине? -))) Ну так еще понять нужно, кто именно это делает.

Вопрос : как отловить тоннель, точку перехода? Какие возможны еще варианты паразитирования? Отлавливать дамп какой-то и его анализировать? Или посадить своего человек ( Штирлица) в сеть "паразита" и с его стороны смотреть на внезапно хороший коннект с другими сетками? Ну это хреновый вариант тоже.

[web]

Туннель отловить можно например IDS - snort. Так-же можно настроить реакцию на него.

Но фича в том, что они туннель могут и не для связи двух сетей поднимать - а просто для того, чтобы данные друг-другу передать.

[BeS]

Туннель отловить можно например IDS - snort. Так-же можно настроить реакцию на него.

 

А вот с этого места, пожалуйста, поподробней..

[web]

www.snort.org

[nuclearcat]

Вообще если есть линух машина на маршруте - сделайте

tcpdump -n -i интерфейс src net друг1 and dst net друг2

 

если нет, сделайте по возможности на свитче port mirror (если не ошибаюсь так называется), и анализируйте траффик там.

[nuclearcat]

Да, забыл, траффик можно складировать, а потом заниматься чтением логов, вместо книжки какогонить лукьяненко, на ночь с кофе :)

[Andrew40]

Вопрос : как отловить тоннель, точку перехода? Какие возможны еще варианты паразитирования? Отлавливать  дамп  какой-то и его анализировать? Или  посадить своего человек ( Штирлица)  в сеть "паразита" и с его стороны  смотреть на  внезапно  хороший  коннект с  другими сетками? Ну  это  хреновый вариант тоже.

 

А зачем. Ну отловили, доказали (вопрос с перлюстрацией остается) и что? Пойдете с этими данными в суд? Смешно... Принять решения об "обрезании" самостоятельно - судя по всему, данных у вас достаточно. Закрыть доступ - да пожалуйста, дело в технической организации вашей абонентской сети, ну нарушите вы свой договор с клиентом (именно с клиентом, оператор под него маскируется) ну что с того, ну не пойдет он реально жаловаться в суд, ну не нужен никому такой геморрой, с малым шансом на успех в сфере малого провайдинга.

 

Ситуация забавная во всех смыслах.

1. Оператор 2 хочет воспользоваться вашей сетью как транзитной. Ну так и пусть пользуется, это услуга, за которую можно брать деньги. Вопрос, как? Да, это действительно вопрос, причем к самим себе. Ведь аналогичного мы хотим от ГТС и прочих государственных связистов - пустите нас в свои "трубы" (канализацию, медь, транки - нужное подчеркнуть, недостающее вписать) по "справедливой" цене (цену выберем мы сами). Только сами не готовы быть на месте таких вот ГТС, хотим на халяву.

2. Очевидный факт для всех - реально абонент готов платить только за Internet траффик по мегабайтно. Ну не нужно ему ничего другого, за деньги. Ну как только будет введена какая то минимально разумная плата за местный траффик, очевидно, что дешевле съездить с CD-ROM на на автобусе (<20р <$1, за 2 конца за >=700Мб, время не учитываем) чем качать данные по сети. Кроме того, такой траффик легко переполнит Вашу магистральную сеть, при "плоской" модели построения, и Вы недополучите прибыль от траффика Internet.

3. Увы, услуга относительно мало востребована, даже в сравнении с сотовой связью, которая почти всегда повременная. Иначе не было бы этих проблем...

[BeS]

Нет, не согласен. Как раз все наоборот.

 

В случае нарушения пункта договора (в котором оговоренны подобные деяния), оператор может отключить от порта абонента и подать на него в суд. И подаст. Вопрос был "как именно отловить данного абонента". Т.е. пока реальных средств не найденно. Кроме как ВСЕ делать на упр. коммутаторах. Хотя это оже не выход. Всегда могут сказать -"ну фильмы я смотрю, часто".

 

Насчет "забавного":

1. Оператор получил все мыслимые разрешения и согласования, вложил массу средств в проекты, в оборудование, прокладку/оплату кабеля/оптики по каналыгам гтс, а тут перцы выпрыгнули и навязывают конкурентную борьбу оператору на его же (оператора) каналах не вложив н и ч е г о.

Неправильно это или нормально или забавно или выражение жабы?

 

2. цена внутреннего трафика и есть аб.плата. или ее поднять по самое-мама- не-горюй? нет, не за это боролись.

И лучше МЫ переполним СВОЮ сеть СВОИМ трафиком, без посторонней помощи и подумаем о втором гигабите.

3. не совсем понял: о какой маловостребованной услуге идет речь.

[Andrew40]

Нет, не согласен. Как раз  все наоборот.  

 

В случае  нарушения пункта  договора (в котором оговоренны подобные  деяния), оператор может отключить  от порта  абонента и подать на него в суд. И подаст. Вопрос был "как именно отловить данного  абонента". Т.е. пока  реальных  средств не найденно. Кроме как ВСЕ  делать на упр. коммутаторах. Хотя это оже не выход. Всегда могут сказать -"ну фильмы я смотрю, часто".

Подас то подаст. Только в суде действия "паразита" надо доказывать! Вы действуете в рамках гражданского законадательства, где истец и ответчик равноправны... Если у Вас есть log-файл, Вам все ясно, но для суда это может и не быть аргументом (см., например книгу "Unix. Руководство системного администратора", как "фольклерный" пример). Впрочем, в России, где все решается "судебной практикой", были как те так другие преценденты.

 

Насчет "забавного":

1. Оператор  получил все мыслимые разрешения и согласования, вложил массу средств в проекты, в оборудование, прокладку/оплату  кабеля/оптики по каналыгам гтс, а тут перцы выпрыгнули и навязывают конкурентную борьбу оператору на его  же (оператора) каналах не вложив  н и ч е г о.  

Неправильно  это  или  нормально или забавно или выражение жабы?    

Я писал о "наездах" "альтернативных операторов" на "традиционных". Как не смешно, претензии те же.

 

2. цена внутреннего трафика и есть аб.плата. или ее поднять  по самое-мама- не-горюй? нет, не  за  это боролись.  

И лучше МЫ переполним СВОЮ сеть СВОИМ трафиком,  без посторонней помощи и подумаем о втором  гигабите.  

Постойте. Давайте определимся, что такое внутренний траффик в Вашей сети. Я так понял, что за фиксированную абон плату абоненты могут "гонять" сколько угодно мегабайт друг в друга? Тогда это ваша недоработка, и ничего тут не сделаешь! Срочно решайте проблему тарификации транзитного траффика, это ваша дополнительная прибыль! Зачем с ней бороться! На ней надо зарабатывать!

Пример - есть домашний телефон, в котором исходя из некоторого среднего местного траффика берется абонплата. Нечестный абонент начинает использовать его для бизнеса, наприер "обзвонщик" и т.п. ГТС реально ничего не может с этим сделать.

Сотовые операторы сразу устранили эту проблему повременкой, у них нет разделения на "бытовой" и "бизнес" тариф, вернее есть, но в зависимости от выбираемых абонентом минут.

 

3. не совсем понял: о какой маловостребованной услуге идет речь.

Об Internet доступе, о нем, родимом. Просто сравните проникновение услуг сотовой связи и Internet (по всем видам доступа вместе) как по отбельным городам, так и по России в целом.