white_crow Posted August 9, 2010 (edited) Реальный случай: пришел запрос из Германии через Интерпол в МВД - из нашего пула IP адресов совершено преступление - распространение детского порно череp p2p сети: в случае NAT - как определить - кто именно раздавал детское порно? (если скажут хотя бы IP адреса другой стороны участников p2p сессий - можно по статистике NetFlow поискать - но это будет очень долго..., и если скажут IP "назначения"...) Использовать на каждого юзера свой белый IP - тоже нерационально. Решение, которое решает проблему - выдавать белый IP динамически с записью в лог (будь это DHCP, RADIUS, PPTP, L2TP, PPPoE ) _______________________ Кто как раздает белые IP ? Кто как использует NAT ? Кто как решает проблему поиска преступника по запросу в случае использования NAT, когда известен только IP адрес источника (вашего хомячка, а реально вашего NAT адреса (адресов)) ? Есть много достоинств при использовании NAT - уменьшается вирусный трафик, pps на аплинке, защищены обычные обыватели (которым кроме веб-серфинга ничего не надо) от входящих соединений, экономия белых адресов. Но вот этот недостаток с "персонализацией" по IP в глобальной сети и разборки с органами - все перечеркивает. В нашем небольшом городке все провайдеры так и делают - выдают динамически белые адреса через PPPoE и хранят логи RADIUS, именно их используют для ответа органам.... Меня долго устраивала схема - NAT из пула. (но пора что-то решать с этим NAT) _____________________________ Поделитесь своими мыслями... Edited August 9, 2010 by white_crow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted August 9, 2010 Снимайте нат со всех. А с ментами - дайте информацию, которая у вас есть, полюбому не найдут, мозги потрахают только. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
мишаня сучков Posted August 9, 2010 А СОРМ где если стоит по пусть сами парятся с поиском .А белые ip многие выдают плюсов в такой выдочи очень много. Если сорм у вас установлен то пусть МВД у ФСБ просит информацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 СОРМ у нас есть, но это как в фильме "Дежа вю" - слишком много инфы льётся в прямом эфире - нужно конкретно знать - что искать. А этот запрос немцев "из прошлого". И так просто послать нахер органы - и стремно и не солидно. Немцы подумают - что это за лохи такие, что за отделы "К", что за провайдеры - не могут помочь найти преступников. К тому же может у вас в России и можно послать органы нахер - мы в Беларуси можем поиметь жестокий гемор, если не сможем выдавать инфу - "кто , куда и когда". У нас 1-го июля вступил в силу какой-то тоталитарный указ нашего "светлейшего" президента. Теперь вайфай в кафе - паспорт покажи : ))))) Можете погуглить : "Указ Президента Беларуси №60" Я как отец маленькой дочки - против детской порнографии. Т.е. таких надо искать и жестоко бить в лицо : ) _________________________ Пусть все выскажутся по вопросу хранения логов и статистики посещений - позже я расскажу конец этой истории, а пока пусть сохраниться небольшая интрига... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wonderer Posted August 9, 2010 а че сразу лохи? сначала нужно задать вопрос, кто из железных вендоров может сделать кэширование серого IP и только потом сделать NAT (брасики на линухах не в счет). Там в Германии поди NAT вообще не юзают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 а что дает кеширование серого IP? В чем соль в разрезе нашего вопроса, когда могут через месяц-два-три спросить - "кто раздавал детское порно с такого-то белого IP на тысячи других белых IP в p2p сети" ? (а у вас этот IP на тыщу хомяков ввиде NAT) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wonderer Posted August 9, 2010 (edited) элементарно.... когда вы пакет еще не снатили у вас в пакете source серый а destination тот что хомячок запросил, вот этот пакет и нужно кэшировать. Edited August 9, 2010 by wonderer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 И насколько его нужно и можно кешировать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wonderer Posted August 9, 2010 т.е.? кэширование - это и есть netflow. Что еще кроме netflow поможет ответить на подобные запросы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 (edited) Хотя стоп, у нас так и есть - на сервере: NAT только на внешнем фейсе. СОРМ зеркалируется на другой "фейс" еще до NAT. И подробная статистика посещений хранится в базе: SRC - серый (внутренний адрес клиента, по которому его однозначно можно определить ) и в качестве DST - белый внешний адрес назначения (в случае расмотрения исходящего пакета). Но задача такая - известен только IP адрес, который видят немцы - т.е. наш NAT адрес. Причем не "видят", а "видели" - т.е. в прошлом. Как тут поможет "кеширование" ? В данном случае задача нерешаема. (слишком мало переменных для решения : ) (теперь ясно, что вы имели ввиду под "кешированием".) Edited August 9, 2010 by white_crow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wonderer Posted August 9, 2010 Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать Да - это возможно, но если только будет IP другого участника p2p обмена и время - чем точнее - тем лучше. Нет - это не легко. Это долго. Нужно искать по всем юзерам, потому как NAT юзает подавляющее число хомяков у нас. И тут зависит от того, какой диапазон времени задан. И есть еще нюанс - p2p трафик, "сканирующий" трафик, вирусный трафик - когда много мелких пакетов с одного адреса в единицу времени на множество других адресов - могут не попадать в статистику (нетфлоу ведь пытается ? найти совпадения и "агрегировать" одинаковые пары адресов в одну запись - в "нормальных" сетевых приложениях - одна сессия - и большой объем подряд в рамках этой сессии - можно одной строкой записать - "от туда - туда - 4K данных". p2p - все совсем по другому - сравните - скачать файл с FTP или HTTP, или у тысяч людей по мелкому пакетику.....). У кого нет провалов в srs-dst ? У меня есть. Нереально каждый пакетик зафиксировать. Базы занимали бы невероятное количество места.... Мой вышестоящий провайдер пропускает очень много по нетфлоу. И у меня есть "дырки" в статистике. Производители биллинга так и говорят - "p2p" трафик очень напоминает вирусный. (что в принципе верно - куча мелких пакетов сразу на множестов адресов). Объем считается верно, но все адреса не фиксируются - "специально в настройках" так сделано - именно, потому что иначе "пухнет" статистика невероятно быстро. Такие объемы сложно обрабатывать и хранить. Или я не прав? (лев значит : ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wonderer Posted August 9, 2010 тут многое зависит от вашего дизайна и вашей специфики. 1. обычно сеть сегментируют логически и стремятся закреплять один ip белый для NAT на группу серых /22, /23, /24., по вкусу. Т.е. объем поиска сужается. 2. бывает так, что фиксируют и даже сами серые IP, особенно если домовой провайдер вовлечен в пиринг с другими домовыми провайдерами. 3. мы же говорим, про распространение, т.е. всякие сканы, вирусы - не в счет. Распространение - это достаточно длительный диалог с точки зрения переданного объема, который должен засечь даже сэмплированный netflow. Трудно если честно представить себе "распространение" если в диалоге было меньше 1000 пакетов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 1. Так и есть - это сужает поиск. 2. Это я не понял (если речь идет о том, что у абонентов жестко фиксированный серый IP - то у нас так и есть - это упрощает сильно СОРМ до NAT) 3. Диалог-то длительный - но только получается - раздача идет с каждого по мизеру. Вот я сейчас скачал фильм "Начало" с помощью БитТоррент за 30 минут 1,3 гига. С сотен пиров по маленькому кусочку. Теперь сам наблюдаю за раздачей уже с себя - капли в море - килобиты. иногда - нуль. Так и наш педофил - раздает копеечки по-тиху - и не одному получателю весь объем идет... Так что диалог получается "короткими" сериями на разных пиров. Чем не вирусный сканирующий траф? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
white_crow Posted August 9, 2010 (edited) И еще - если речь идет о детском порно - то не важно сколько пакетов ты раздал - ты расшарил детское порно - ты распространитель (конечно - это не создание и не съемка - за это другие степени наказанаия). Но тут надо быть жестким в любом случае - это серьезное преступление - по-другому никак. Еще раз уточняю - речь идет не о подростковом порно - а именно дети - 4, 5, 7, 9 лет - не важно какого пола - насильно снятые. Это каким надо быть уродом больным, чтобы оставлять на раздаче детское порно - даже если скачал глянуть из любопытсва - понял что это жуть - удали. Такое надо пресекать - что в евросоюзе и делают - спецальный отдел следит за пиринговыми сетями и раскручивает цепочку, пока не найдут того, кто влил сеть , где купил, кто снял... _____________________ Короче, дело было так: Нашли чувака, который раздавал. Ему лет 25. Использовал P2P - Сеть eMule. (популярна в западной европе) Меня вызвали в отдел "К", и еще нескольких админов других провайдеров. Мы были типа понятыми при экспертизе компа: мы подтвердили наличие клиента имуля, наличие "расшареной" раздачи этого порно. И в конце протокола нам дали подписать один важный вопрос "Считаете ли вы, что владелец компа мог не знать или не понимать, что скачивая с помощью p2p клиента - он автоматически начинает раздавать файл? Я ответил, что он мог не знать и/или не понимать (хоть я и против детского порно). Это в битТоррент пишется - что вы автоматом начинаете раздавать. Да ит о - можно явно не придать значение этому и не осознать полностью... Чувак явно не создатель таких фильмов, не продавец, и не оптовик. Просто было любопытно ему. Адвокаты его отмазали. Т.е. просто хранение всего одного фильма и в первый раз - а это не так страшно, как хранения с целью распространения (если бы у него было на винте штук 10 таких фильмов - все было бы гораздо хуже) А нашли чела по логам радиус-сервера местного ADSL провайдера, который выдает белые IP по PPPoE. Я сразу сознательно не сказал, что это не у меня в сети произошло. Чтобы получить ценные советы. Я примерил проблему на себя - ведь я не выдаю белые IP. В моем случае - сложнее будет найти таких челов. А соль сей бастни такова - что найти могут, если надо - кого угодно. Что правильно. За детское порно надо щемить серьезно. Во-первых шугать по крупицам всех любителей - что это не шутки (ведь спрос рождает предложение - меньше будут искать и качать - мньше будут делать). Во-вторых - рано или поздно находят создателей (профи), которые "оформили" изначательно первую "раздачу" В третьих - опять же - информационная шумиха - чтобы знали - и боялись - что найдут вас рано или поздно.... Ну, короче, немцы молодцы - что ищут любого раздатчика/качальщика - душат хрень в зародыше - иначе , если не заниматься - в геометрической прогрессии будет расти p2p обмен этой хрени.... Главное, чтобы так не взялись за музло и фильмы : ) Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям. Менталитет - ё-мое. Мы все хотим на халяву. Ни за что не хотим платить - гвозди и скотч с работы, цемент у знакомого прораба, обои сами поклеим, сантехнику - сами прикрутим, плитку сами прилепим... На огороде сами картошку посадим...И т.д. - в итоге все вокруг воруют, никто никому не платит. Так и живем. Пока нефть лъётся... А лучше б каждый занимался только своим делом - и все друг другу платили полную стоимость..... Что-то я вышел в жестокий офтоп, сорри : ))))) Edited August 9, 2010 by white_crow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ainy Posted August 9, 2010 Я так думаю, что надо все же раздавать белые адреса - так и проще и правильнее, хотя бы для полноценного инета, а серые можно давать типа по принципу "default deny" - с разрешенным только http+локальные сервисы - типа только для сёрферов. Я когда-то так и делал - и это себя оправдывало. Нарушители находились мгновенно(это было давно+юзеров немного - около 3000). +Неплохо если позволяют ресурсы иметь собственный анализатор трафика на "странную активность" - это ясное дело требует серьезных ресурсов времени и железа (у меня были). Ну и четко и понятно прописаное адинистративное полиси. Что и как нельзя делать юзеру. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 10, 2010 Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 10, 2010 Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр. Это вызовет слишком большую нагрузку на техподдержку с вопросами: "а почему у меня красный треугольник в мюторренте?". Вообщем-то достаточно отфильтровать порты 1-1024 и сделать кнопку "снять фильтр" в личном кабинете для любителей хостить сайт Васи Пупкина на домашнем локалхосте Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lelick Posted August 12, 2010 У нас был такой случай Отдел К прислал запрос на поиск абонента который детское порно распостронял. Нашли по логам. Да админам пришлось попыхтеть над логами. В итоге больше нет у нас этого абонента. А договор уже больше двух лет неактивен. =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zadrovets Posted August 13, 2010 у нас тоже был запрос. найти конкретного юзера не смогли. ответили списком из 5 (те кто юзал инет в тот момент времени под конкретным белым ип). что там дальше было хз, но больше не спрашивали. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GFORGX Posted August 15, 2010 SNAT-им каждую /24 в один белый IP, на порт, в который воткнуты соответствующие органы, зеркалится трафик, приходящий/уходящий с порта NAS-а хомячкам, то есть ещё до NAT-а. Запросов не было, но если возникнет - пускай у себя ищут серый адрес, это не наша задача, максимум, сможем назвать им серую /24 подсеть. P.S. Казахстан. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 16, 2010 В 10.08.2010 в 00:47, white_crow сказал: Главное, чтобы так не взялись за музло и фильмы : ) Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям. Нам, дикарям, предложить нечего, кроме сами знаете чего, с чего нам от этого станет лучше? Да и в той же Японии, тоже полно народу кто не хочет платить за всё это и преследуют там от нефик делать жестоко, потому там и плодятся защищённые пиринговые сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zlat118 Posted September 28, 2010 Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч.? К примеру, с моего компьютера были украдены пароли и другая конфиденциальная информация. После переустановки системы файрвол все находит множество атак на компьютер (похоже на сканирование портов). И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку. (При включенной усиленной защите, либо выставлении ограниченного уровня доступа, либо при отключении сетевого подключения все работает нормально). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted September 28, 2010 Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч02И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку.к производителю Вашей операционной системы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zlat118 Posted September 28, 2010 Nickuz , можно было просто послать... милиция на обычные заявления то не реагирует. Есть же телефоны, контакты этого отдела "К", который по идее должен подобными вещами заниматься... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...