Архив форумов ЦИТФорума

[ArtemYch]

Народ, помогите! Пропадает трафик (500 Мб в день) куда не известно. У нас несколько IP (своя подсеть). Физически с интернет каналом соеденина только одна сетевуха (она по радиоканалу подключена к провайдеру), остальные используют ее IP как шлюз (с этого IP мы сами едим около 100 Mb в день), трафик пропадает только с одного IP, который не является шлюзом. У нас стоит WinRoute (не смейтесь), NAT везде отключен. Из-за чего и как можно воровать трафик в таких объемах? Это не внутренняя проблема (ТОЧНО!) это кто-то снаружи ворует. Помогите разабраться, ато вычтут и уволят!!!

[karnage]

Если ты уверен, что проблема не у тебя, обратись к провайдеру, они обязаны разобраться.

[ArtemYch]

Не у меня. это в смысле, что это не наши сотрудники воруют, а кто-то из вне. Я понимаю, что у нас практически нет путевой защиты, лазь кто хошь, я просто пытаюсь понять, как можно сделать так, чтобы украсть трафик, как только я это пойму, я пойму что нужно сделать, чтобы воровство прекратилось.
Я уже звонил провайдеру они сказали: "Все что мы можем - это детализация". Я ее получил. Трафик уходит на какой-то один адрес (131.211.231.128). Если в броузере набрать http://131.211.231.128, то вы попадете на сайт каких-то субъектов очень напоминающих хакеров. Блин че делать?

[ArtemYch]

Точнее это голландские студенты!

[ALEX_SE]

-

[Алекс]

Читай в разделе "Интернет/ВВВ"...
_________________
Удачи!

[Борис]

>>> как можно сделать так, чтобы украсть трафик, как только я это пойму, я пойму что нужно сделать, чтобы воровство прекратилось

Твой (прокси-)сервер исполняет запросы извне. В данном случае с адреса 131.211.231.128. Эти друзья дают запросы твоему серверу, а он их транслирует в сеть как свои. Соответственно твой провайдер считает создаваемый этими запросам трафик твоим, потому что для провайдера этот трафик идёт от тебя.

Что делать? Разрешить обработку запросов только из внутренней сети.

Зачем они это делают? 1. Скорее всего, отлаживают программы удалённого управления через веб-сервисы. 2. Хотят подставить твой сервер как источник (массовых?) запросов.

Почему так решил? 1. Их сайт какой-то недоделанный. 2. Трафик несуразно велик -- при отлаженной работе трафик незаметен.

[Вячеслав]

как вариант
1. твой прокси ( в WinRoute встроен) виден снаружи и его активно пользуют
(добавив Logging d WinRoute это не сложно увидеть визуально)

2. Пользуют твой SMTP сервер ( в WinRoute встроен)

Правильно настрой фильтрацию и NAT в WinRoute
Запусти сканер портов и просканируй свой IP снаружи


3. В инете бегает патч превращающий WinRoute в весьма интересную штуку (трафик будет лететь со свистом ) - ты случайно (или нет ) его установил. Лечится преустановкой .

[Алекс]

>>В инете бегает патч превращающий WinRoute в весьма интересную штуку (трафик будет лететь со свистом )...
А что за ерунда такая? И куда трафик "летит"? Расскажи!
_________________
Удачи!

[ArtemYch]

В логах все чисто.

[ArtemYch]

На машине с тем IP, с которого гнали трафик, стоит у нас Citrix. Трафик Citrix ВыньРоут не учитывает, поэтому трафик чист. Citrix по умолчанию создает в W2K пользователей поумолчанию, и каждому назначается пароль. Таким образом, зная то, как Citrix паролит, можно (причем легко) законектится к нам через Citrix. Хочется матом крыть того кто тут все делал до меня.

[Dmitry.Karpov http://prof]

У меня стоит Squid, который по умолчанию никого не пускает - законные IP-номера я прописал ручками. Тем не менее, постоянно какие-то раздолбаи щупают все IP-номера подряд, пытаясь найти открытый Proxy. Мне это надоело, так что я просто прикрыл этот порт через Firewall, запретив обращаться на внешний интерфейс по порту 3128. А тебе советую запретить все пакеты от ихнего IP-номера.