[white_crow]

Реальный случай:

 

пришел запрос из Германии через Интерпол в МВД - из нашего пула IP адресов совершено преступление - распространение детского порно череp p2p сети:

 

 

в случае NAT - как определить - кто именно раздавал детское порно?

(если скажут хотя бы IP адреса другой стороны участников p2p сессий - можно по статистике NetFlow поискать - но это будет очень долго..., и если скажут IP "назначения"...)

Использовать на каждого юзера свой белый IP - тоже нерационально.

 

Решение, которое решает проблему - выдавать белый IP динамически с записью в лог (будь это DHCP, RADIUS, PPTP, L2TP, PPPoE )

_______________________

 

Кто как раздает белые IP ?

Кто как использует NAT ?

Кто как решает проблему поиска преступника по запросу в случае использования NAT, когда известен только IP адрес источника (вашего хомячка, а реально вашего NAT адреса (адресов)) ?

 

Есть много достоинств при использовании NAT - уменьшается вирусный трафик, pps на аплинке, защищены обычные обыватели (которым кроме веб-серфинга ничего не надо) от входящих соединений, экономия белых адресов.

 

Но вот этот недостаток с "персонализацией" по IP в глобальной сети и разборки с органами - все перечеркивает.

 

В нашем небольшом городке все провайдеры так и делают - выдают динамически белые адреса через PPPoE и хранят логи RADIUS, именно их используют для ответа органам....

 

Меня долго устраивала схема - NAT из пула. (но пора что-то решать с этим NAT)

 

_____________________________

Поделитесь своими мыслями...

Изменено 9 августа, 2010 пользователем white_crow

[terrible]

Снимайте нат со всех.

А с ментами - дайте информацию, которая у вас есть, полюбому не найдут, мозги потрахают только.

[мишаня сучков]

А СОРМ где если стоит по пусть сами парятся с поиском .А белые ip многие выдают плюсов в такой выдочи очень много.

 

Если сорм у вас установлен то пусть МВД у ФСБ просит информацию.

[white_crow]

СОРМ у нас есть, но это как в фильме "Дежа вю" - слишком много инфы льётся в прямом эфире - нужно конкретно знать - что искать.

 

А этот запрос немцев "из прошлого".

 

И так просто послать нахер органы - и стремно и не солидно.

Немцы подумают - что это за лохи такие, что за отделы "К", что за провайдеры - не могут помочь найти преступников.

К тому же может у вас в России и можно послать органы нахер - мы в Беларуси можем поиметь жестокий гемор, если не сможем выдавать инфу - "кто , куда и когда". У нас 1-го июля вступил в силу какой-то тоталитарный указ нашего "светлейшего" президента.

Теперь вайфай в кафе - паспорт покажи : )))))

Можете погуглить : "Указ Президента Беларуси №60"

 

 

Я как отец маленькой дочки - против детской порнографии. Т.е. таких надо искать и жестоко бить в лицо : )

_________________________

Пусть все выскажутся по вопросу хранения логов и статистики посещений - позже я расскажу конец этой истории, а пока пусть сохраниться небольшая интрига...

[wonderer]

а че сразу лохи?

 

сначала нужно задать вопрос, кто из железных вендоров может сделать кэширование серого IP и только потом сделать NAT (брасики на линухах не в счет). Там в Германии поди NAT вообще не юзают.

[white_crow]

а что дает кеширование серого IP? В чем соль в разрезе нашего вопроса, когда могут через месяц-два-три спросить - "кто раздавал детское порно с такого-то белого IP на тысячи других белых IP в p2p сети" ? (а у вас этот IP на тыщу хомяков ввиде NAT)

[wonderer]

элементарно....

 

когда вы пакет еще не снатили у вас в пакете source серый а destination тот что хомячок запросил, вот этот пакет и нужно кэшировать.

Изменено 9 августа, 2010 пользователем wonderer

[white_crow]

И насколько его нужно и можно кешировать?

[wonderer]

т.е.?

 

кэширование - это и есть netflow. Что еще кроме netflow поможет ответить на подобные запросы.

[white_crow]

Хотя стоп, у нас так и есть - на сервере: NAT только на внешнем фейсе. СОРМ зеркалируется на другой "фейс" еще до NAT.

И подробная статистика посещений хранится в базе:

SRC - серый (внутренний адрес клиента, по которому его однозначно можно определить ) и в качестве DST - белый внешний адрес назначения (в случае расмотрения исходящего пакета).

 

Но задача такая - известен только IP адрес, который видят немцы - т.е. наш NAT адрес. Причем не "видят", а "видели" - т.е. в прошлом.

 

Как тут поможет "кеширование" ? В данном случае задача нерешаема. (слишком мало переменных для решения : )

 

(теперь ясно, что вы имели ввиду под "кешированием".)

Изменено 9 августа, 2010 пользователем white_crow

[wonderer]

Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать

[white_crow]

Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать

Да - это возможно, но если только будет IP другого участника p2p обмена и время - чем точнее - тем лучше.

Нет - это не легко. Это долго. Нужно искать по всем юзерам, потому как NAT юзает подавляющее число хомяков у нас. И тут зависит от того, какой диапазон времени задан.

 

И есть еще нюанс - p2p трафик, "сканирующий" трафик, вирусный трафик - когда много мелких пакетов с одного адреса в единицу времени на множество других адресов - могут не попадать в статистику (нетфлоу ведь пытается ? найти совпадения и "агрегировать" одинаковые пары адресов в одну запись - в "нормальных" сетевых приложениях - одна сессия - и большой объем подряд в рамках этой сессии - можно одной строкой записать - "от туда - туда - 4K данных".

 

p2p - все совсем по другому - сравните - скачать файл с FTP или HTTP, или у тысяч людей по мелкому пакетику.....).

 

У кого нет провалов в srs-dst ?

У меня есть.

 

Нереально каждый пакетик зафиксировать. Базы занимали бы невероятное количество места....

 

Мой вышестоящий провайдер пропускает очень много по нетфлоу.

 

И у меня есть "дырки" в статистике. Производители биллинга так и говорят - "p2p" трафик очень напоминает вирусный. (что в принципе верно - куча мелких пакетов сразу на множестов адресов). Объем считается верно, но все адреса не фиксируются - "специально в настройках" так сделано - именно, потому что иначе "пухнет" статистика невероятно быстро. Такие объемы сложно обрабатывать и хранить.

 

Или я не прав? (лев значит : )

[wonderer]

тут многое зависит от вашего дизайна и вашей специфики.

 

1. обычно сеть сегментируют логически и стремятся закреплять один ip белый для NAT на группу серых /22, /23, /24., по вкусу. Т.е. объем поиска сужается.

2. бывает так, что фиксируют и даже сами серые IP, особенно если домовой провайдер вовлечен в пиринг с другими домовыми провайдерами.

3. мы же говорим, про распространение, т.е. всякие сканы, вирусы - не в счет. Распространение - это достаточно длительный диалог с точки зрения переданного объема, который должен засечь даже сэмплированный netflow. Трудно если честно представить себе "распространение" если в диалоге было меньше 1000 пакетов.

[white_crow]

1. Так и есть - это сужает поиск.

2. Это я не понял (если речь идет о том, что у абонентов жестко фиксированный серый IP - то у нас так и есть - это упрощает сильно СОРМ до NAT)

3. Диалог-то длительный - но только получается - раздача идет с каждого по мизеру.

Вот я сейчас скачал фильм "Начало" с помощью БитТоррент за 30 минут 1,3 гига.

 

С сотен пиров по маленькому кусочку. Теперь сам наблюдаю за раздачей уже с себя - капли в море - килобиты. иногда - нуль.

 

Так и наш педофил - раздает копеечки по-тиху - и не одному получателю весь объем идет... Так что диалог получается "короткими" сериями на разных пиров.

Чем не вирусный сканирующий траф?

[white_crow]

И еще - если речь идет о детском порно - то не важно сколько пакетов ты раздал - ты расшарил детское порно - ты распространитель (конечно - это не создание и не съемка - за это другие степени наказанаия). Но тут надо быть жестким в любом случае - это серьезное преступление - по-другому никак. Еще раз уточняю - речь идет не о подростковом порно - а именно дети - 4, 5, 7, 9 лет - не важно какого пола - насильно снятые.

Это каким надо быть уродом больным, чтобы оставлять на раздаче детское порно - даже если скачал глянуть из любопытсва - понял что это жуть - удали.

Такое надо пресекать - что в евросоюзе и делают - спецальный отдел следит за пиринговыми сетями и раскручивает цепочку, пока не найдут того, кто влил сеть , где купил, кто снял...

 

_____________________

 

Короче, дело было так:

 

Нашли чувака, который раздавал. Ему лет 25.

Использовал P2P - Сеть eMule. (популярна в западной европе)

Меня вызвали в отдел "К", и еще нескольких админов других провайдеров.

Мы были типа понятыми при экспертизе компа:

 

мы подтвердили наличие клиента имуля, наличие "расшареной" раздачи этого порно.

И в конце протокола нам дали подписать один важный вопрос "Считаете ли вы, что владелец компа мог не знать или не понимать, что скачивая с помощью p2p клиента - он автоматически начинает раздавать файл?

 

Я ответил, что он мог не знать и/или не понимать (хоть я и против детского порно).

Это в битТоррент пишется - что вы автоматом начинаете раздавать. Да ит о - можно явно не придать значение этому и не осознать полностью...

 

Чувак явно не создатель таких фильмов, не продавец, и не оптовик. Просто было любопытно ему.

Адвокаты его отмазали. Т.е. просто хранение всего одного фильма и в первый раз - а это не так страшно, как хранения с целью распространения (если бы у него было на винте штук 10 таких фильмов - все было бы гораздо хуже)

 

А нашли чела по логам радиус-сервера местного ADSL провайдера, который выдает белые IP по PPPoE.

 

Я сразу сознательно не сказал, что это не у меня в сети произошло. Чтобы получить ценные советы. Я примерил проблему на себя - ведь я не выдаю белые IP. В моем случае - сложнее будет найти таких челов.

 

А соль сей бастни такова - что найти могут, если надо - кого угодно. Что правильно. За детское порно надо щемить серьезно. Во-первых шугать по крупицам всех любителей - что это не шутки (ведь спрос рождает предложение - меньше будут искать и качать - мньше будут делать). Во-вторых - рано или поздно находят создателей (профи), которые "оформили" изначательно первую "раздачу" В третьих - опять же - информационная шумиха - чтобы знали - и боялись - что найдут вас рано или поздно....

Ну, короче, немцы молодцы - что ищут любого раздатчика/качальщика - душат хрень в зародыше - иначе , если не заниматься - в геометрической прогрессии будет расти p2p обмен этой хрени....

 

Главное, чтобы так не взялись за музло и фильмы : )

Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям.

 

Менталитет - ё-мое. Мы все хотим на халяву. Ни за что не хотим платить - гвозди и скотч с работы, цемент у знакомого прораба, обои сами поклеим, сантехнику - сами прикрутим, плитку сами прилепим... На огороде сами картошку посадим...И т.д. - в итоге все вокруг воруют, никто никому не платит. Так и живем.

Пока нефть лъётся...

А лучше б каждый занимался только своим делом - и все друг другу платили полную стоимость.....

 

Что-то я вышел в жестокий офтоп, сорри : )))))

Изменено 9 августа, 2010 пользователем white_crow

[Ainy]

Я так думаю, что надо все же раздавать белые адреса - так и проще и правильнее, хотя бы для полноценного инета, а серые можно давать типа по принципу "default deny" - с разрешенным только http+локальные сервисы - типа только для сёрферов. Я когда-то так и делал - и это себя оправдывало. Нарушители находились мгновенно(это было давно+юзеров немного - около 3000). +Неплохо если позволяют ресурсы иметь собственный анализатор трафика на "странную активность" - это ясное дело требует серьезных ресурсов времени и железа (у меня были). Ну и четко и понятно прописаное адинистративное полиси. Что и как нельзя делать юзеру.

[Saab95]

Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр.

[s.lobanov]

Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр.

Это вызовет слишком большую нагрузку на техподдержку с вопросами: "а почему у меня красный треугольник в мюторренте?". Вообщем-то достаточно отфильтровать порты 1-1024 и сделать кнопку "снять фильтр" в личном кабинете для любителей хостить сайт Васи Пупкина на домашнем локалхосте

[lelick]

У нас был такой случай Отдел К прислал запрос на поиск абонента который детское порно распостронял. Нашли по логам. Да админам пришлось попыхтеть над логами. В итоге больше нет у нас этого абонента. А договор уже больше двух лет неактивен. =)

[zadrovets]

у нас тоже был запрос.

найти конкретного юзера не смогли. ответили списком из 5 (те кто юзал инет в тот момент времени под конкретным белым ип).

что там дальше было хз, но больше не спрашивали.

[GFORGX]

SNAT-им каждую /24 в один белый IP, на порт, в который воткнуты соответствующие органы, зеркалится трафик, приходящий/уходящий с порта NAS-а хомячкам, то есть ещё до NAT-а. Запросов не было, но если возникнет - пускай у себя ищут серый адрес, это не наша задача, максимум, сможем назвать им серую /24 подсеть.

 

P.S. Казахстан.

[Ivan_83]

В 10.08.2010 в 00:47, white_crow сказал:

Главное, чтобы так не взялись за музло и фильмы : )

Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям.

Нам, дикарям, предложить нечего, кроме сами знаете чего, с чего нам от этого станет лучше?

Да и в той же Японии, тоже полно народу кто не хочет платить за всё это и преследуют там от нефик делать жестоко, потому там и плодятся защищённые пиринговые сети.

[zlat118]

Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч.? К примеру, с моего компьютера были украдены пароли и другая конфиденциальная информация. После переустановки системы файрвол все находит множество атак на компьютер (похоже на сканирование портов). И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку. (При включенной усиленной защите, либо выставлении ограниченного уровня доступа, либо при отключении сетевого подключения все работает нормально).

[Nickuz]

Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч

02

И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку.

к производителю Вашей операционной системы

[zlat118]

Nickuz , можно было просто послать...

милиция на обычные заявления то не реагирует.

 

Есть же телефоны, контакты этого отдела "К", который по идее должен подобными вещами заниматься...