Jump to content
Калькуляторы

Запрос из отдела "К" - как найти преступника? Реальная история про распространение детского порно

Реальный случай:

 

пришел запрос из Германии через Интерпол в МВД - из нашего пула IP адресов совершено преступление - распространение детского порно череp p2p сети:

 

 

в случае NAT - как определить - кто именно раздавал детское порно?

(если скажут хотя бы IP адреса другой стороны участников p2p сессий - можно по статистике NetFlow поискать - но это будет очень долго..., и если скажут IP "назначения"...)

Использовать на каждого юзера свой белый IP - тоже нерационально.

 

Решение, которое решает проблему - выдавать белый IP динамически с записью в лог (будь это DHCP, RADIUS, PPTP, L2TP, PPPoE )

_______________________

 

Кто как раздает белые IP ?

Кто как использует NAT ?

Кто как решает проблему поиска преступника по запросу в случае использования NAT, когда известен только IP адрес источника (вашего хомячка, а реально вашего NAT адреса (адресов)) ?

 

Есть много достоинств при использовании NAT - уменьшается вирусный трафик, pps на аплинке, защищены обычные обыватели (которым кроме веб-серфинга ничего не надо) от входящих соединений, экономия белых адресов.

 

Но вот этот недостаток с "персонализацией" по IP в глобальной сети и разборки с органами - все перечеркивает.

 

В нашем небольшом городке все провайдеры так и делают - выдают динамически белые адреса через PPPoE и хранят логи RADIUS, именно их используют для ответа органам....

 

Меня долго устраивала схема - NAT из пула. (но пора что-то решать с этим NAT)

 

_____________________________

Поделитесь своими мыслями...

Edited by white_crow

Share this post


Link to post
Share on other sites

Снимайте нат со всех.

А с ментами - дайте информацию, которая у вас есть, полюбому не найдут, мозги потрахают только.

Share this post


Link to post
Share on other sites

А СОРМ где если стоит по пусть сами парятся с поиском .А белые ip многие выдают плюсов в такой выдочи очень много.

 

Если сорм у вас установлен то пусть МВД у ФСБ просит информацию.

Share this post


Link to post
Share on other sites

СОРМ у нас есть, но это как в фильме "Дежа вю" - слишком много инфы льётся в прямом эфире - нужно конкретно знать - что искать.

 

А этот запрос немцев "из прошлого".

 

И так просто послать нахер органы - и стремно и не солидно.

Немцы подумают - что это за лохи такие, что за отделы "К", что за провайдеры - не могут помочь найти преступников.

К тому же может у вас в России и можно послать органы нахер - мы в Беларуси можем поиметь жестокий гемор, если не сможем выдавать инфу - "кто , куда и когда". У нас 1-го июля вступил в силу какой-то тоталитарный указ нашего "светлейшего" президента.

Теперь вайфай в кафе - паспорт покажи : )))))

Можете погуглить : "Указ Президента Беларуси №60"

 

 

Я как отец маленькой дочки - против детской порнографии. Т.е. таких надо искать и жестоко бить в лицо : )

_________________________

Пусть все выскажутся по вопросу хранения логов и статистики посещений - позже я расскажу конец этой истории, а пока пусть сохраниться небольшая интрига...

Share this post


Link to post
Share on other sites

а че сразу лохи?

 

сначала нужно задать вопрос, кто из железных вендоров может сделать кэширование серого IP и только потом сделать NAT (брасики на линухах не в счет). Там в Германии поди NAT вообще не юзают.

Share this post


Link to post
Share on other sites

а что дает кеширование серого IP? В чем соль в разрезе нашего вопроса, когда могут через месяц-два-три спросить - "кто раздавал детское порно с такого-то белого IP на тысячи других белых IP в p2p сети" ? (а у вас этот IP на тыщу хомяков ввиде NAT)

Share this post


Link to post
Share on other sites

элементарно....

 

когда вы пакет еще не снатили у вас в пакете source серый а destination тот что хомячок запросил, вот этот пакет и нужно кэшировать.

Edited by wonderer

Share this post


Link to post
Share on other sites

т.е.?

 

кэширование - это и есть netflow. Что еще кроме netflow поможет ответить на подобные запросы.

Share this post


Link to post
Share on other sites

Хотя стоп, у нас так и есть - на сервере: NAT только на внешнем фейсе. СОРМ зеркалируется на другой "фейс" еще до NAT.

И подробная статистика посещений хранится в базе:

SRC - серый (внутренний адрес клиента, по которому его однозначно можно определить ) и в качестве DST - белый внешний адрес назначения (в случае расмотрения исходящего пакета).

 

Но задача такая - известен только IP адрес, который видят немцы - т.е. наш NAT адрес. Причем не "видят", а "видели" - т.е. в прошлом.

 

Как тут поможет "кеширование" ? В данном случае задача нерешаема. (слишком мало переменных для решения : )

 

(теперь ясно, что вы имели ввиду под "кешированием".)

Edited by white_crow

Share this post


Link to post
Share on other sites

Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать

Share this post


Link to post
Share on other sites
Ну как бы немцы должны знать куда или точнее кому этот хомячок распространял, т.е. DST они знают и время знают. Осталось найти только одну неизвестную, и если вы сняли у себя netflow до трансляции, то это легко сделать

Да - это возможно, но если только будет IP другого участника p2p обмена и время - чем точнее - тем лучше.

Нет - это не легко. Это долго. Нужно искать по всем юзерам, потому как NAT юзает подавляющее число хомяков у нас. И тут зависит от того, какой диапазон времени задан.

 

И есть еще нюанс - p2p трафик, "сканирующий" трафик, вирусный трафик - когда много мелких пакетов с одного адреса в единицу времени на множество других адресов - могут не попадать в статистику (нетфлоу ведь пытается ? найти совпадения и "агрегировать" одинаковые пары адресов в одну запись - в "нормальных" сетевых приложениях - одна сессия - и большой объем подряд в рамках этой сессии - можно одной строкой записать - "от туда - туда - 4K данных".

 

p2p - все совсем по другому - сравните - скачать файл с FTP или HTTP, или у тысяч людей по мелкому пакетику.....).

 

У кого нет провалов в srs-dst ?

У меня есть.

 

Нереально каждый пакетик зафиксировать. Базы занимали бы невероятное количество места....

 

Мой вышестоящий провайдер пропускает очень много по нетфлоу.

 

И у меня есть "дырки" в статистике. Производители биллинга так и говорят - "p2p" трафик очень напоминает вирусный. (что в принципе верно - куча мелких пакетов сразу на множестов адресов). Объем считается верно, но все адреса не фиксируются - "специально в настройках" так сделано - именно, потому что иначе "пухнет" статистика невероятно быстро. Такие объемы сложно обрабатывать и хранить.

 

Или я не прав? (лев значит : )

Share this post


Link to post
Share on other sites

тут многое зависит от вашего дизайна и вашей специфики.

 

1. обычно сеть сегментируют логически и стремятся закреплять один ip белый для NAT на группу серых /22, /23, /24., по вкусу. Т.е. объем поиска сужается.

2. бывает так, что фиксируют и даже сами серые IP, особенно если домовой провайдер вовлечен в пиринг с другими домовыми провайдерами.

3. мы же говорим, про распространение, т.е. всякие сканы, вирусы - не в счет. Распространение - это достаточно длительный диалог с точки зрения переданного объема, который должен засечь даже сэмплированный netflow. Трудно если честно представить себе "распространение" если в диалоге было меньше 1000 пакетов.

Share this post


Link to post
Share on other sites

1. Так и есть - это сужает поиск.

2. Это я не понял (если речь идет о том, что у абонентов жестко фиксированный серый IP - то у нас так и есть - это упрощает сильно СОРМ до NAT)

3. Диалог-то длительный - но только получается - раздача идет с каждого по мизеру.

Вот я сейчас скачал фильм "Начало" с помощью БитТоррент за 30 минут 1,3 гига.

 

С сотен пиров по маленькому кусочку. Теперь сам наблюдаю за раздачей уже с себя - капли в море - килобиты. иногда - нуль.

 

Так и наш педофил - раздает копеечки по-тиху - и не одному получателю весь объем идет... Так что диалог получается "короткими" сериями на разных пиров.

Чем не вирусный сканирующий траф?

Share this post


Link to post
Share on other sites

И еще - если речь идет о детском порно - то не важно сколько пакетов ты раздал - ты расшарил детское порно - ты распространитель (конечно - это не создание и не съемка - за это другие степени наказанаия). Но тут надо быть жестким в любом случае - это серьезное преступление - по-другому никак. Еще раз уточняю - речь идет не о подростковом порно - а именно дети - 4, 5, 7, 9 лет - не важно какого пола - насильно снятые.

Это каким надо быть уродом больным, чтобы оставлять на раздаче детское порно - даже если скачал глянуть из любопытсва - понял что это жуть - удали.

Такое надо пресекать - что в евросоюзе и делают - спецальный отдел следит за пиринговыми сетями и раскручивает цепочку, пока не найдут того, кто влил сеть , где купил, кто снял...

 

_____________________

 

Короче, дело было так:

 

Нашли чувака, который раздавал. Ему лет 25.

Использовал P2P - Сеть eMule. (популярна в западной европе)

Меня вызвали в отдел "К", и еще нескольких админов других провайдеров.

Мы были типа понятыми при экспертизе компа:

 

мы подтвердили наличие клиента имуля, наличие "расшареной" раздачи этого порно.

И в конце протокола нам дали подписать один важный вопрос "Считаете ли вы, что владелец компа мог не знать или не понимать, что скачивая с помощью p2p клиента - он автоматически начинает раздавать файл?

 

Я ответил, что он мог не знать и/или не понимать (хоть я и против детского порно).

Это в битТоррент пишется - что вы автоматом начинаете раздавать. Да ит о - можно явно не придать значение этому и не осознать полностью...

 

Чувак явно не создатель таких фильмов, не продавец, и не оптовик. Просто было любопытно ему.

Адвокаты его отмазали. Т.е. просто хранение всего одного фильма и в первый раз - а это не так страшно, как хранения с целью распространения (если бы у него было на винте штук 10 таких фильмов - все было бы гораздо хуже)

 

А нашли чела по логам радиус-сервера местного ADSL провайдера, который выдает белые IP по PPPoE.

 

Я сразу сознательно не сказал, что это не у меня в сети произошло. Чтобы получить ценные советы. Я примерил проблему на себя - ведь я не выдаю белые IP. В моем случае - сложнее будет найти таких челов.

 

А соль сей бастни такова - что найти могут, если надо - кого угодно. Что правильно. За детское порно надо щемить серьезно. Во-первых шугать по крупицам всех любителей - что это не шутки (ведь спрос рождает предложение - меньше будут искать и качать - мньше будут делать). Во-вторых - рано или поздно находят создателей (профи), которые "оформили" изначательно первую "раздачу" В третьих - опять же - информационная шумиха - чтобы знали - и боялись - что найдут вас рано или поздно....

Ну, короче, немцы молодцы - что ищут любого раздатчика/качальщика - душат хрень в зародыше - иначе , если не заниматься - в геометрической прогрессии будет расти p2p обмен этой хрени....

 

Главное, чтобы так не взялись за музло и фильмы : )

Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям.

 

Менталитет - ё-мое. Мы все хотим на халяву. Ни за что не хотим платить - гвозди и скотч с работы, цемент у знакомого прораба, обои сами поклеим, сантехнику - сами прикрутим, плитку сами прилепим... На огороде сами картошку посадим...И т.д. - в итоге все вокруг воруют, никто никому не платит. Так и живем.

Пока нефть лъётся...

А лучше б каждый занимался только своим делом - и все друг другу платили полную стоимость.....

 

Что-то я вышел в жестокий офтоп, сорри : )))))

Edited by white_crow

Share this post


Link to post
Share on other sites

Я так думаю, что надо все же раздавать белые адреса - так и проще и правильнее, хотя бы для полноценного инета, а серые можно давать типа по принципу "default deny" - с разрешенным только http+локальные сервисы - типа только для сёрферов. Я когда-то так и делал - и это себя оправдывало. Нарушители находились мгновенно(это было давно+юзеров немного - около 3000). +Неплохо если позволяют ресурсы иметь собственный анализатор трафика на "странную активность" - это ясное дело требует серьезных ресурсов времени и железа (у меня были). Ну и четко и понятно прописаное адинистративное полиси. Что и как нельзя делать юзеру.

Share this post


Link to post
Share on other sites

Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр.

Share this post


Link to post
Share on other sites
Надо выдавать белые адреса с фильтром на все входящие - тогда паразитного трафика не будет. А кому надо снимать этот фильтр.

Это вызовет слишком большую нагрузку на техподдержку с вопросами: "а почему у меня красный треугольник в мюторренте?". Вообщем-то достаточно отфильтровать порты 1-1024 и сделать кнопку "снять фильтр" в личном кабинете для любителей хостить сайт Васи Пупкина на домашнем локалхосте

Share this post


Link to post
Share on other sites

У нас был такой случай Отдел К прислал запрос на поиск абонента который детское порно распостронял. Нашли по логам. Да админам пришлось попыхтеть над логами. В итоге больше нет у нас этого абонента. А договор уже больше двух лет неактивен. =)

Share this post


Link to post
Share on other sites

у нас тоже был запрос.

найти конкретного юзера не смогли. ответили списком из 5 (те кто юзал инет в тот момент времени под конкретным белым ип).

что там дальше было хз, но больше не спрашивали.

Share this post


Link to post
Share on other sites

SNAT-им каждую /24 в один белый IP, на порт, в который воткнуты соответствующие органы, зеркалится трафик, приходящий/уходящий с порта NAS-а хомячкам, то есть ещё до NAT-а. Запросов не было, но если возникнет - пускай у себя ищут серый адрес, это не наша задача, максимум, сможем назвать им серую /24 подсеть.

 

P.S. Казахстан.

Share this post


Link to post
Share on other sites
В 10.08.2010 в 00:47, white_crow сказал:
Главное, чтобы так не взялись за музло и фильмы : )

Хотя - возможно - это не плохо. Ведь как-то платят европейцы за лицензии и живут богаче нас в среднем. Именно в такой последовательности. А не наоборот - мол, мы русские - бедные и не будем платит за софт, музло и фильмы буржуям.

Нам, дикарям, предложить нечего, кроме сами знаете чего, с чего нам от этого станет лучше?

Да и в той же Японии, тоже полно народу кто не хочет платить за всё это и преследуют там от нефик делать жестоко, потому там и плодятся защищённые пиринговые сети.

Share this post


Link to post
Share on other sites

Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч.? К примеру, с моего компьютера были украдены пароли и другая конфиденциальная информация. После переустановки системы файрвол все находит множество атак на компьютер (похоже на сканирование портов). И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку. (При включенной усиленной защите, либо выставлении ограниченного уровня доступа, либо при отключении сетевого подключения все работает нормально).

Share this post


Link to post
Share on other sites
Скажите, а куда нам можно обращаться(конкретные телефоны, e-mail...) по вопросам правонарушений, взломов и проч
02
И сейчас, если временно отключить или ослабить защиту - компьютер практически сразу уходит на перезагрузку.
к производителю Вашей операционной системы

Share this post


Link to post
Share on other sites

Nickuz , можно было просто послать...

милиция на обычные заявления то не реагирует.

 

Есть же телефоны, контакты этого отдела "К", который по идее должен подобными вещами заниматься...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this