white_crow Опубликовано 9 августа, 2010 (изменено) · Жалоба Реальный случай: пришел запрос из Германии через Интерпол в МВД - из нашего пула IP адресов совершено преступление - распространение детского порно череp p2p сети: в случае NAT - как определить - кто именно раздавал детское порно? (если скажут хотя бы IP адреса другой стороны участников p2p сессий - можно по статистике NetFlow поискать - но это будет очень долго..., и если скажут IP "назначения"...) Использовать на каждого юзера свой белый IP - тоже нерационально. Решение, которое решает проблему - выдавать белый IP динамически с записью в лог (будь это DHCP, RADIUS, PPTP, L2TP, PPPoE ) _______________________ Кто как раздает белые IP ? Кто как использует NAT ? Кто как решает проблему поиска преступника по запросу в случае использования NAT, когда известен только IP адрес источника (вашего хомячка, а реально вашего NAT адреса (адресов)) ? Есть много достоинств при использовании NAT - уменьшается вирусный трафик, pps на аплинке, защищены обычные обыватели (которым кроме веб-серфинга ничего не надо) от входящих соединений, экономия белых адресов. Но вот этот недостаток с "персонализацией" по IP в глобальной сети и разборки с органами - все перечеркивает. В нашем небольшом городке все провайдеры так и делают - выдают динамически белые адреса через PPPoE и хранят логи RADIUS, именно их используют для ответа органам.... Меня долго устраивала схема - NAT из пула. (но пора что-то решать с этим NAT) _____________________________ Поделитесь своими мыслями... Изменено 9 августа, 2010 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 9 августа, 2010 · Жалоба Снимайте нат со всех. А с ментами - дайте информацию, которая у вас есть, полюбому не найдут, мозги потрахают только. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
мишаня сучков Опубликовано 9 августа, 2010 · Жалоба А СОРМ где если стоит по пусть сами парятся с поиском .А белые ip многие выдают плюсов в такой выдочи очень много. Если сорм у вас установлен то пусть МВД у ФСБ просит информацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 · Жалоба СОРМ у нас есть, но это как в фильме "Дежа вю" - слишком много инфы льётся в прямом эфире - нужно конкретно знать - что искать. А этот запрос немцев "из прошлого". И так просто послать нахер органы - и стремно и не солидно. Немцы подумают - что это за лохи такие, что за отделы "К", что за провайдеры - не могут помочь найти преступников. К тому же может у вас в России и можно послать органы нахер - мы в Беларуси можем поиметь жестокий гемор, если не сможем выдавать инфу - "кто , куда и когда". У нас 1-го июля вступил в силу какой-то тоталитарный указ нашего "светлейшего" президента. Теперь вайфай в кафе - паспорт покажи : ))))) Можете погуглить : "Указ Президента Беларуси №60" Я как отец маленькой дочки - против детской порнографии. Т.е. таких надо искать и жестоко бить в лицо : ) _________________________ Пусть все выскажутся по вопросу хранения логов и статистики посещений - позже я расскажу конец этой истории, а пока пусть сохраниться небольшая интрига... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 9 августа, 2010 · Жалоба а че сразу лохи? сначала нужно задать вопрос, кто из железных вендоров может сделать кэширование серого IP и только потом сделать NAT (брасики на линухах не в счет). Там в Германии поди NAT вообще не юзают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 · Жалоба а что дает кеширование серого IP? В чем соль в разрезе нашего вопроса, когда могут через месяц-два-три спросить - "кто раздавал детское порно с такого-то белого IP на тысячи других белых IP в p2p сети" ? (а у вас этот IP на тыщу хомяков ввиде NAT) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 9 августа, 2010 (изменено) · Жалоба элементарно.... когда вы пакет еще не снатили у вас в пакете source серый а destination тот что хомячок запросил, вот этот пакет и нужно кэшировать. Изменено 9 августа, 2010 пользователем wonderer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 · Жалоба И насколько его нужно и можно кешировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 9 августа, 2010 · Жалоба т.е.? кэширование - это и есть netflow. Что еще кроме netflow поможет ответить на подобные запросы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 (изменено) · Жалоба Хотя стоп, у нас так и есть - на сервере: NAT только на внешнем фейсе. СОРМ зеркалируется на другой "фейс" еще до NAT. И подробная статистика посещений хранится в базе: SRC - серый (внутренний адрес клиента, по которому его однозначно можно определить ) и в качестве DST - белый внешний адрес назначения (в случае расмотрения исходящего пакета). Но задача такая - известен только IP адрес, который видят немцы - т.е. наш NAT адрес. Причем не "видят", а "видели" - т.е. в прошлом. Как тут поможет "кеширование" ? В данном случае задача нерешаема. (слишком мало переменных для решения : ) (теперь ясно, что вы имели ввиду под "кешированием".) Изменено 9 августа, 2010 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 9 августа, 2010 · Жалоба Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 · Жалоба Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать Да - это возможно, но если только будет IP другого участника p2p обмена и время - чем точнее - тем лучше. Нет - это не легко. Это долго. Нужно искать по всем юзерам, потому как NAT юзает подавляющее число хомяков у нас. И тут зависит от того, какой диапазон времени задан. И есть еще нюанс - p2p трафик, "сканирующий" трафик, вирусный трафик - когда много мелких пакетов с одного адреса в единицу времени на множество других адресов - могут не попадать в статистику (нетфлоу ведь пытается ? найти совпадения и "агрегировать" одинаковые пары адресов в одну запись - в "нормальных" сетевых приложениях - одна сессия - и большой объем подряд в рамках этой сессии - можно одной строкой записать - "от туда - туда - 4K данных". p2p - все совсем по другому - сравните - скачать файл с FTP или HTTP, или у тысяч людей по мелкому пакетику.....). У кого нет провалов в srs-dst ? У меня есть. Нереально каждый пакетик зафиксировать. Базы занимали бы невероятное количество места.... Мой вышестоящий провайдер пропускает очень много по нетфлоу. И у меня есть "дырки" в статистике. Производители биллинга так и говорят - "p2p" трафик очень напоминает вирусный. (что в принципе верно - куча мелких пакетов сразу на множестов адресов). Объем считается верно, но все адреса не фиксируются - "специально в настройках" так сделано - именно, потому что иначе "пухнет" статистика невероятно быстро. Такие объемы сложно обрабатывать и хранить. Или я не прав? (лев значит : ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 9 августа, 2010 · Жалоба тут многое зависит от вашего дизайна и вашей специфики. 1. обычно сеть сегментируют логически и стремятся закреплять один ip белый для NAT на группу серых /22, /23, /24., по вкусу. Т.е. объем поиска сужается. 2. бывает так, что фиксируют и даже сами серые IP, особенно если домовой провайдер вовлечен в пиринг с другими домовыми провайдерами. 3. мы же говорим, про распространение, т.е. всякие сканы, вирусы - не в счет. Распространение - это достаточно длительный диалог с точки зрения переданного объема, который должен засечь даже сэмплированный netflow. Трудно если честно представить себе "распространение" если в диалоге было меньше 1000 пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 · Жалоба 1. Так и есть - это сужает поиск. 2. Это я не понял (если речь идет о том, что у абонентов жестко фиксированный серый IP - то у нас так и есть - это упрощает сильно СОРМ до NAT) 3. Диалог-то длительный - но только получается - раздача идет с каждого по мизеру. Вот я сейчас скачал фильм "Начало" с помощью БитТоррент за 30 минут 1,3 гига. С сотен пиров по маленькому кусочку. Теперь сам наблюдаю за раздачей уже с себя - капли в море - килобиты. иногда - нуль. Так и наш педофил - раздает копеечки по-тиху - и не одному получателю весь объем идет... Так что диалог получается "короткими" сериями на разных пиров. Чем не вирусный сканирующий траф? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 9 августа, 2010 (изменено) · Жалоба И еще - если речь идет о детском порно - то не важно сколько пакетов ты раздал - ты расшарил детское порно - ты распространитель (конечно - это не создание и не съемка - за это другие степени наказанаия). Но тут надо быть жестким в любом случае - это серьезное преступление - по-другому никак. Еще раз уточняю - речь идет не о подростковом порно - а именно дети - 4, 5, 7, 9 лет - не важно какого пола - насильно снятые. Это каким надо быть уродом больным, чтобы оставлять на раздаче детское порно - даже если скачал глянуть из любопытсва - понял что это жуть - удали. Такое надо пресекать - что в евросоюзе и делают - спецальный отдел следит за пиринговыми сетями и раскручивает цепочку, пока не найдут того, кто влил сеть , где купил, кто снял... _____________________ Короче, дело было так: Нашли чувака, который раздавал. Ему лет 25. Использовал P2P - Сеть eMule. (популярна в западной европе) Меня вызвали в отдел "К", и еще нескольких админов других провайдеров. Мы были типа понятыми при экспертизе компа: мы подтвердили наличие клиента имуля, наличие "расшареной" раздачи этого порно. И в конце протокола нам дали подписать один важный вопрос "Считаете ли вы, что владелец компа мог не знать или не понимать, что скачивая с помощью p2p клиента - он автоматически начинает раздавать файл? Я ответил, что он мог не знать и/или не понимать (хоть я и против детского порно). Это в битТоррент пишется - что вы автоматом начинаете раздавать. Да ит о - можно явно не придать значение этому и не осознать полностью... Чувак явно не создатель таких фильмов, не продавец, и не оптовик. Просто было любопытно ему. Адвокаты его отмазали. Т.е. просто хранение всего одного фильма и в первый раз - а это не так страшно, как хранения с целью распространения (если бы у него было на винте штук 10 таких фильмов - все было бы гораздо хуже) А нашли чела по логам радиус-сервера местного ADSL провайдера, который выдает белые IP по PPPoE. Я сразу сознательно не сказал, что это не у меня в сети произошло. Чтобы получить ценные советы. Я примерил проблему на себя - ведь я не выдаю белые IP. В моем случае - сложнее будет найти таких челов. А соль сей бастни такова - что найти могут, если надо - кого угодно. Что правильно. За детское порно надо щемить серьезно. Во-первых шугать по крупицам всех любителей - что это не шутки (ведь спрос рождает предложение - меньше будут искать и качать - мньше будут делать). Во-вторых - рано или поздно находят создателей (профи), которые "оформили" изначательно первую "раздачу" В третьих - опять же - информационная шумиха - чтобы знали - и боялись - что найдут вас рано или поздно.... Ну, короче, немцы молодцы - что ищут любого раздатчика/качальщика - душат хрень в зародыше - иначе , если не заниматься - в геометрической прогрессии будет расти p2p обмен этой хрени.... Главное, чтобы так не взялись за музло и фильмы : ) Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям. Менталитет - ё-мое. Мы все хотим на халяву. Ни за что не хотим платить - гвозди и скотч с работы, цемент у знакомого прораба, обои сами поклеим, сантехнику - сами прикрутим, плитку сами прилепим... На огороде сами картошку посадим...И т.д. - в итоге все вокруг воруют, никто никому не платит. Так и живем. Пока нефть лъётся... А лучше б каждый занимался только своим делом - и все друг другу платили полную стоимость..... Что-то я вышел в жестокий офтоп, сорри : ))))) Изменено 9 августа, 2010 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 9 августа, 2010 · Жалоба Я так думаю, что надо все же раздавать белые адреса - так и проще и правильнее, хотя бы для полноценного инета, а серые можно давать типа по принципу "default deny" - с разрешенным только http+локальные сервисы - типа только для сёрферов. Я когда-то так и делал - и это себя оправдывало. Нарушители находились мгновенно(это было давно+юзеров немного - около 3000). +Неплохо если позволяют ресурсы иметь собственный анализатор трафика на "странную активность" - это ясное дело требует серьезных ресурсов времени и железа (у меня были). Ну и четко и понятно прописаное адинистративное полиси. Что и как нельзя делать юзеру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 августа, 2010 · Жалоба Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 августа, 2010 · Жалоба Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр. Это вызовет слишком большую нагрузку на техподдержку с вопросами: "а почему у меня красный треугольник в мюторренте?". Вообщем-то достаточно отфильтровать порты 1-1024 и сделать кнопку "снять фильтр" в личном кабинете для любителей хостить сайт Васи Пупкина на домашнем локалхосте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lelick Опубликовано 12 августа, 2010 · Жалоба У нас был такой случай Отдел К прислал запрос на поиск абонента который детское порно распостронял. Нашли по логам. Да админам пришлось попыхтеть над логами. В итоге больше нет у нас этого абонента. А договор уже больше двух лет неактивен. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zadrovets Опубликовано 13 августа, 2010 · Жалоба у нас тоже был запрос. найти конкретного юзера не смогли. ответили списком из 5 (те кто юзал инет в тот момент времени под конкретным белым ип). что там дальше было хз, но больше не спрашивали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 15 августа, 2010 · Жалоба SNAT-им каждую /24 в один белый IP, на порт, в который воткнуты соответствующие органы, зеркалится трафик, приходящий/уходящий с порта NAS-а хомячкам, то есть ещё до NAT-а. Запросов не было, но если возникнет - пускай у себя ищут серый адрес, это не наша задача, максимум, сможем назвать им серую /24 подсеть. P.S. Казахстан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 августа, 2010 · Жалоба В 10.08.2010 в 00:47, white_crow сказал: Главное, чтобы так не взялись за музло и фильмы : ) Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям. Нам, дикарям, предложить нечего, кроме сами знаете чего, с чего нам от этого станет лучше? Да и в той же Японии, тоже полно народу кто не хочет платить за всё это и преследуют там от нефик делать жестоко, потому там и плодятся защищённые пиринговые сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlat118 Опубликовано 28 сентября, 2010 · Жалоба Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч.? К примеру, с моего компьютера были украдены пароли и другая конфиденциальная информация. После переустановки системы файрвол все находит множество атак на компьютер (похоже на сканирование портов). И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку. (При включенной усиленной защите, либо выставлении ограниченного уровня доступа, либо при отключении сетевого подключения все работает нормально). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 28 сентября, 2010 · Жалоба Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч02И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку.к производителю Вашей операционной системы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlat118 Опубликовано 28 сентября, 2010 · Жалоба Nickuz , можно было просто послать... милиция на обычные заявления то не реагирует. Есть же телефоны, контакты этого отдела "К", который по идее должен подобными вещами заниматься... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...