Недавно я поднимал тему о том, что в одной из точек по детализациям провайдера идёт огромная закачка трафика, при этом нетом никто не пользуется. Трафик идет даже когда компы выключены. Тема получила продолжение. Теперь конкретный комп за месяц накачал 320гигов. На жёстком следов закачки нет, да и винт всего 80 гигов. Вопросов становится еще больше. старая тема здесь Странная закачка из инета

странные вы.. я уже давно послал бы на й у х такого провайдера

1- гос предприятие, заключен договор на увеух кучу точек

попил

(3)(4)(5) => счас тему прикроют ))

если это вирус, как они утверждают, тогда вирюки звереют. В 10 раз больше, чем в прошлом месяце. И вообще хор вирус, в дураках оставляет всех и абонента и провайдера

(0) а что удивительного в том, что один комп накачал 320 гигов?
Варианты:
1. Пользователь подключишь USB винт и качает торренты...
2. Пользователь скачал фильм - не понравилось, удалил
3. Вирус
4. Баг в какой-нибудь программе

они 2 дня выгружали детализацию, она получилась на 1,2 гигабайта (текстовый файл) (8)- 1)и2) отпадает, что такое 4) не знаю

На компьютере установлен анонимный Proxy сервер без пароля :) У нас на фирме сисадмин установил для пробы такой сервер и за 1 месяц трафика набежало на 140 тыс руб.

(10) У нас, как мне сказали, набежало около миллиона

(9) отруби доступ на этой машине в интернет и попроси за день статистику.

(11) за 320 гигов???

(13) да, гос. предприятие или обманули, или пофиг сколько платить

(12)- на ночь комп выключается, но трафик прет

(15) вообще проблема надуманная. Раз идет траффик (на миллионы!) и не понятно откудого, то отключается ВСЕ предприятие от интернета. Проверяются логи, если интернет есть - то вопросы сразу отпадают.
А дальше ставите свой прокси сервер и по одной машине (сегменту) подключаете. Работа не сложная, но нудная. Результат гарантирован.

если интернет есть = если траффик есть

(11) > У нас, как мне сказали, набежало около миллиона

ты попал )))

а не днс ли весь трафик сожрал?

ахереть, из-за неграмотного сиса госпредприятие влетело на миллион. Миллион наших налогов.

(15) "на ночь комп выключается, но трафик прет" - ты прям про непорочное заяатие рассказываешь ))). Отключи активное оборудование.

(21) зачатие*

Грядут посадки. За нецелевое. Если админ не отбрешется - ему сидеть

(18) и не только я

Если трафик сильно платный, то ставится инет шлюз из старого бухкомпа, две сетевухи, и контролируй, слушай весь трафик, ставь правила и лимиты.

(21) отключали даже модем, трафик прет

(26) ТАК НЕ БЫВАЕТ !!!!

(27) ты забыл про звезду и 3х волхвов

это у провайдера вирус в Cisce сидит:)

(27) бывает см здесь Странная закачка из инета

предлагаю сменить провайдера или перейти на безлимит, оформив на физ. лицо

(30) Требуй аудита radius сервера у прова.

А на какие порты идут запросы, по какому протоколу?

(31) безлимит физлица нельзя использовать на предприятии. раньше так было..

(34)Оформить договор, что помещение сдано в аренду физлицу аффилированному. Или, если рядом есть жилые дома, оттуда Интернет брать.

(35)аффил. в ().

в прошлый раз же было, у них тарелка, на нее трафик прет неважно, включена или нет. опять 25.

это попадос

(38)->(37)

(37) столько прет, что трафика на миллионы?
не, не верю.

таких клиентов можно пинговать мегабитными пакетами и иметь кучу бюджетного бабла.

Если тарелка, данные будут отправлены, а будут ли получены, проблема абонента и ничего не докажешь, биллинг то на отправке идет, а не на получении. А на получении не поставишь, т. к. абонент не может вести биллинг сам. Хотя, как посмотреть, может потребовать поставить биллиновое оборудование на стороне абонента или отказатсья от провайдера или перейти на безлим.

А размер пакетов как раз такой, что это запросы на соединения. Это может быть DDOS атака на сервер кампании.

Сделай запрос у провайдера в какие места идет трафик. У любого провайдера есть данные по такому.

Хотя тут надо еще порты знать. Если это все порты от 1 до 65535 - то сканирование портов с целью поиска сервисов. Потом пойдет прощупывание сервисов с целью из взлома. Тогда это хакерская атака.
Если просто пакеты идут, например по протоколам ICMP - DDOS атака.
Также может быть технологический траффик, типа проверки качества связи и работоспособности канала (QoS). Хотя, если бы это был технологический траффик, он бы шел с серверов провайдера. А его IP легко определяются по трассировке. Плюс IP можно по whois определить.

(34) интернет можно использовать, если провайдер не против.

83.149.44.72    172.30.18.170    6    0 Мб    2543
62.150.176.7    172.30.18.170    6    0 Мб    2521
93.78.7.159    172.30.18.170    12    0 Мб    2042
62.150.176.7    172.30.18.170    6    0 Мб    1976
83.149.44.87    172.30.18.170    5    0 Мб    1949
123.6.89.108    172.30.18.170    8    0 Мб    1922
62.150.176.7    172.30.18.170    6    0 Мб    1824
83.149.44.87    172.30.18.170    5    0 Мб    1814
62.221.107.24    172.30.18.170    5    0 Мб    1811
83.149.44.87    172.30.18.170    5    0 Мб    1787
83.149.44.87    172.30.18.170    5    0 Мб    1709
83.149.45.2    172.30.18.170    6    0 Мб    1608
62.150.176.7    172.30.18.170    6    0 Мб    1568
92.113.219.88    172.30.18.170    7    0 Мб    1478

Информация об IP-адресе 83.149.44.72

по данным RIPE:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '83.149.44.0 - 83.149.47.255'

inetnum:        83.149.44.0 - 83.149.47.255
netname:        MF-CENTER
descr:          Center Branch of OJSC MegaFon, GPRS/UMTS Pool 2.
country:        RU
admin-c:        OAY-RIPE
tech-c:         OAY-RIPE
tech-c:         MIM16-RIPE
status:         ASSIGNED PA
mnt-by:         MEGAFON-RIPE-MNT
mnt-domains:    MF-CENTER-MNT
mnt-routes:     MF-CENTER-MNT
source:         RIPE # Filtered

% Information related to '83.149.44.0/23AS31208'

route:           83.149.44.0/23
descr:           Network for Mobile Users CJSC MegaFon Center
origin:          AS31208
mnt-by:          MF-CENTER-MNT
source:          RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.19.9 (WHOIS1)

http://nic.ru/whois/?query=83.149.44.72

Информация об IP-адресе 62.150.176.7

по данным RIPE:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '62.150.176.0 - 62.150.176.255'

inetnum:        62.150.176.0 - 62.150.176.255
netname:        QNET
descr:          Qualitynet Co.
country:        KW
admin-c:        QNET1-RIPE
tech-c:         QNET1-RIPE
status:         ASSIGNED PA
mnt-by:         QNET-NOC
source:         RIPE # Filtered

% Information related to '62.150.160.0/19AS9155'

route:           62.150.160.0/19
descr:           QualityNet Kuwait
origin:          AS9155
mnt-by:          QNET-NOC
source:          RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.19.9 (WHOIS3)

Информация об IP-адресе 93.78.7.159

по данным RIPE:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '93.78.0.0 - 93.78.127.255'

inetnum:         93.78.0.0 - 93.78.127.255
netname:         VOLIA-POLTAVA
descr:           Volia Poltava
country:         UA
remarks:         ----------------------------------------------------------
remarks:         Please send abuse notifications to: [email protected]
remarks:         ----------------------------------------------------------
admin-c:         AS9784-RIPE
tech-c:          AS9784-RIPE
status:          ASSIGNED PA
mnt-by:          VOLIA-MNT
mnt-routes:      VOLIA-MNT
source:          RIPE # Filtered

% Information related to '93.78.0.0/18AS25229'

route:           93.78.0.0/18
descr:           Volia Poltava
origin:          AS25229
mnt-by:          VOLIA-MNT
source:          RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.19.9 (WHOIS4)

RU - Россия
KW - Кувейт
UA - Украина

Вот коды стран http://perfekt.ru/dict/cc.html

Информация об IP-адресе 123.6.89.108

по данным APNIC:

% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:        123.4.0.0 - 123.7.255.255
netname:        UNICOM-HA
descr:          China Unicom Henan province network
descr:          China Unicom
country:        CN
admin-c:        CH1302-AP
tech-c:         WW444-AP
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CNCGROUP-HA
mnt-routes:     MAINT-CNCGROUP-RR
status:         ALLOCATED PORTABLE
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        [email protected] 20061120
changed:        [email protected] 20090507
changed:        [email protected] 20090508
source:         APNIC

route:          123.4.0.0/14
descr:          CNC Group CHINA169 Henan Province Network
country:        CN
origin:         AS4837
mnt-by:         MAINT-CNCGROUP-RR
changed:        [email protected] 20070111
source:         APNIC

person:         ChinaUnicom Hostmaster
nic-hdl:        CH1302-AP
e-mail:         [email protected]
address:        No.21,Jin-Rong Street
address:        Beijing,100033
address:        P.R.China
phone:          +86-10-66259764
fax-no:         +86-10-66259764
country:        CN
changed:        [email protected] 20090408
mnt-by:         MAINT-CNCGROUP
source:         APNIC

person:         Wei Wang
nic-hdl:        WW444-AP
e-mail:         [email protected]
address: #55 San Quan Road, Zhengzhou, Henan Provice
phone:          +86-371-65952358
fax-no:         +86-371-65968952
country:        CN
changed:        [email protected] 20100305
mnt-by:         MAINT-CNCGROUP-HA
source:         APNIC

Приведенные автором IP принадлежат странам: Россия, Украина, Кувейт, Китай.

(37) Для тарелки же наземный канал нужен, на отправку запроса на получение данных. тарелка только принимает отправленные сервером данные. не ?

(54)Это если серый IP, а если белый, то инициатором запроса может выступать кто угодно. Как вариант, автору перейти на серый IP.

Кстати, а как выдаются пул IP-адресов провайдеру? По 256, 65535 или 16 млн. адресов?

Думаю, что региональные провайдеры по 65535, а магистральные по 16 млн. адресов берут. Потому что 256 адресов, это совсем уж мало. А 16 млн. абонентов для регионального провайдера многовато.

Хотя, зачем магистральным провайдерам столько IP.

(41)большие ping пакеты не пропускают большинство сетевых устройств, обычные ping не везде проходят

Из Китая, говоришь?
Китайские спамеры вводили на сайте Пентагона пароль 123456, пока на 483596 попытке он не согласился, что это правильный пароль?

Хотя, если посмотреть на диапазоны адресов, то может выдаваться порциями от 254 до 65 тыс.

(60)китайский один IP, в основном Украина, Россия, Кувейт.

(61)Это из того, что автор привел.

я вас сожрал боле десятилетия взад, вы все еще сикиленки

(62) пох абсолютно, сосед и тебе не светит

(64), (65)?

еще при диалапе тырили трафик, при исдн уже не то что тырили - лился ливнем

вранье ездь_жжж провайдер мутит
(26) и ты ему веришь ?куда прет ?

явно в землю

(60) не! там пароль был "маодзедун" ! :)

вообще можно посылать пинг на твой комп пакетами например по 64к. И неважно включен он или выключен, трафик будет тебе идти

никако

никакой файрвол ни на компе ни на роутере не спасет

(71) +100

Было у нас такое в одной конторе на Волгателекоме, инет был через ADSL ИП белый, статика. Так вот
входящим трафиком нас и заваливали по 20 гигов, в выходные причем ! но это было давно ! И подозреваю что все таки пров в этом заинтересован ! но потом пришел безлимит и все как обрубило )))

пров всегда списывает свои расходы на клиентов !

я чета не понял...
на такой денежный вопрос ответ искать на мисте?бред
Тут надо спецов вызывать,иначе это будет возможно не последний миллион.А уж потом стрелки переводить на кого надо

(0) Чудес не бывает. Если идут такие данные на выключенный пк то это 100% пров или еще кто. Переключайтесь на безлимит. Я думаю вы его уже окупили бы многократно )

(77) может идти вовсе не на этот комп. Все равно незаконно.

Если пакеты на самом деле идут их можно увидеть. А дальше посмотреть структуру и определить их возможный маршрут. Если их не видно, значит пров дурит, подделывая показания биллинговой системы.

Надо делать серый IP. Если будут приходить, то либо технологический траффик, либо сам провайдер подделывает показания биллинга. В любом случае и тот и тот вариант вина провайдера.

(79) ну увидишь ты и что?

Основной вопрос - какой трафик считается - "чистый" (данные по соединениям) или "грязный" (общие данные в канале). В случае белого Ip и наличия DNS возможна ситуация, когда ваш Ip и Dns попадает в сеть спамеров и от его имени начинает рассылаться почта (причём не важно кем и с какого Ip), но почтовые сервера делают запрос DNS и попытку уточнения данных, пытаясь подключиться на указанный в DNS Ip-адрес, что создаёт мусорный входящий трафик. Иногда он бывает достаточно больщой, но провайдер считает, что этот трафик должен оплачивать абонент.
Соответственно, нужно обсуждать этот вопрос при заключении договора, что данная активность трафиком не считается - иначе провайдер может называть любую сумму.

ИЗ ЗАКЛЮЧЕНИЯ ПРОВАЙдЕРА:

....

несмотря на то, что абонент был отключен...  для него шли пакеты, мы их посчитали....

Я плачу. Такого развода я еще не слышал.

а имя провайдера озвуч

(83) Ололло.. ваще жёпа :)

Слющий, аутор.. можит проста на белой приоре падъехать к ним, пагаварить, а?

(83) буааа гаа гаааа


не смотря на то что с абонентом договора не было заключено - ему шли пакеты и мы их посчитали

у провайдера косяк - через его интерфейсы валится трафик который он не может прикрыть
провайдер сваливает оплату на пользователя который тупо отключен
пользователь оплачивает

выводы:

1. провайдер некомпетентный и его сотрудники бездари
2. провайдер хитрож0пый и свои проблемы перевалил на дургих
3. клиент тупой и денег не считает
4. админ клиента такой же некомпетентный тупица как и сотрудники провайдера


ну или просто клиента тупо имеют приписывая левый трафик в надежде что дурачки оплатят..

(14) Ключевое слово "Откат". Не мешай большим дядькам пилить бюджет. Иначе сам виноватым станешь.

(0) отключи сеть от тарелки, воткни ноут со снифером и инспектором трафика

посторайся понять какой именно трафик идет на вас и в каких обьемах, не забудь что тебе нужен канальный трафик а не тс/ап

этим ты
1. проверишь действительно - ли есть указаный трафик или это выдумки провайдера
2. отделишь технологический трафик и поймешь сколько его прет
3. по пакетам можно понять что за контент идет

как варианты -
1. написать заяву, что-бы провайтер прикрыл весь входящий кроме тс/ап и днс
2. арендовать в сети железку и поднять впн между вами и ней а провайдеру написать, что-бы блокировал все соедения кроме списка днс и этой железки. Ну а потом на этой железке настраивай фаер как тебе угодно

(89) Не для того дядьки заключали договор со стоимостью 1 Мб в 3 руб., чтобы какой-то админ им потом мешал... тут Навальный нужен, а не админ.

Может подать на провайдера в суд по закону о защите прав потребителей за предоставление не качественной услуги.

(91) Этот закон действует только в отношении физ. лиц.