dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« : 14 Февраля 2010, 11:07:48 » |
|
от вышестоящего провайдера поступила претензия по поводу рассылки спама кем-то из пользователей (25 порт открыт). юзеры сидят на серых адресах, в мир выходят через нат. версия 49.
вопрос - как вытащить из детализированной статистики трафик на определенный ип адрес, от кого и когда?
поделитесь опытом подобных разборок.
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #1 : 14 Февраля 2010, 11:45:44 » |
|
от вышестоящего провайдера поступила претензия по поводу рассылки спама кем-то из пользователей (25 порт открыт). юзеры сидят на серых адресах, в мир выходят через нат. версия 49.
вопрос - как вытащить из детализированной статистики трафик на определенный ип адрес, от кого и когда?
поделитесь опытом подобных разборок.
а толку? это же не специально народ сидит спам рассылает, это вирусы у клиентов проще закрыть по умолчания 25 порт ) и открывать тока по заявкам как показывает практика, меньше 1% пользователей просят открыть 25 порт ))))
|
|
|
Записан
|
|
|
|
dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« Ответ #2 : 14 Февраля 2010, 12:03:00 » |
|
25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #3 : 14 Февраля 2010, 12:39:06 » |
|
25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
О чем это ты? если 25 порт будет закрыт, то на нет и суда нет, дропаться будет все и все дела. Элит правильно говорит, единицы просят открыть 25 порт, при подключении спрашиваешь - нужен 25 порт (smtp), если спрашивают "а что это такое?" - значит не нужен ))
|
|
|
Записан
|
|
|
|
dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« Ответ #4 : 14 Февраля 2010, 12:49:11 » |
|
25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
О чем это ты? если 25 порт будет закрыт, то на нет и суда нет, дропаться будет все и все дела. Элит правильно говорит, единицы просят открыть 25 порт, при подключении спрашиваешь - нужен 25 порт (smtp), если спрашивают "а что это такое?" - значит не нужен )) с 25 портом понятно - это касается только спама. остался вопрос с досом (DoS, DDoS атаки) со стороны пользователей в сторону инета. как найти ип пользователя, с которого такая атака производилась, допустим два дня назад с 3 до 4 ночи, если известен только адрес атакованного сервера в инете. у пользователей используются серые адреса.
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #5 : 14 Февраля 2010, 12:59:39 » |
|
Дос это серьезно )) На самом деле дос подразумевает большой траффик. Вот и смотри, кто у тебя "раздавал" в указанное время. Все для этого есть. Можешь еще модуль контроля полосы заюзать и для каждого юзера персональный график рисовать.
|
|
|
Записан
|
|
|
|
dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« Ответ #6 : 14 Февраля 2010, 13:15:06 » |
|
Дос это серьезно )) На самом деле дос подразумевает большой траффик. Вот и смотри, кто у тебя "раздавал" в указанное время. Все для этого есть. Можешь еще модуль контроля полосы заюзать и для каждого юзера персональный график рисовать.
у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление. нужен способ вытаскивания из детальной статистики трафика для определенного ип адреса в инете, от кого и когда это было. кто-нибудь такое уже делал? зы. модуль полосы стоит в плане на второй квартал
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #7 : 14 Февраля 2010, 13:48:12 » |
|
у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление.
Да не нормальное это явление, я борюсь как могу, и на самом деле желание качать все подряд у 90% узеров пропадает на 2-3 месяц безлимита. Насчет вычисления, все для этого есть. выбираем статистика-справа внизу- число - далее время, получаем срез за это время и пользователи которые в это время качали, по процентам загрузки определяем кто был падлой (+- 5 человек) и смотрим у них детальную статистику - которая естественно не должна быть выключена при настройке тарифных планов. ВСЕ.
|
|
|
Записан
|
|
|
|
dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« Ответ #8 : 14 Февраля 2010, 14:04:10 » |
|
у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление.
Да не нормальное это явление, я борюсь как могу, и на самом деле желание качать все подряд у 90% узеров пропадает на 2-3 месяц безлимита. Насчет вычисления, все для этого есть. выбираем статистика-справа внизу- число - далее время, получаем срез за это время и пользователи которые в это время качали, по процентам загрузки определяем кто был падлой (+- 5 человек) и смотрим у них детальную статистику - которая естественно не должна быть выключена при настройке тарифных планов. ВСЕ. новые фильмы выходят постоянно, поэтому всегда будет чего качать правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это теоретически невозможно?
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #9 : 14 Февраля 2010, 14:15:20 » |
|
правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это теоретически невозможно?
стандартной возможности нет ))) но за всю мою практику с 2003 года что-то не припомню чтобы мне это когда-то понадобилось в данном контексте - поэтому возможность какая-то призрачная. Если вам очень это нужно - могу для вас персонально написать нужный модуль )) не за бесплатно конечно.
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #10 : 14 Февраля 2010, 14:22:56 » |
|
Никто не мешает поставить гденить на промежуточном узле netflow колектор и анализировать весь трафик в направлении тех подсетей.
Есть кстати хорошая утилка - ntop, которая умеет писать кто куда откуда и сколько в виде графиков.
Если например отфильтровать там трафик по подсети откуда идут жалобы то можно найти виновных. Только ессно это до ната должно стоять.
Кстати по поводу дос\ддос надо еще на фаерволах всех глушить netbios трафик чтобы вирусам создать препятсвие к распространению.
|
|
|
Записан
|
|
|
|
dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« Ответ #11 : 14 Февраля 2010, 14:43:16 » |
|
правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это теоретически невозможно?
стандартной возможности нет ))) но за всю мою практику с 2003 года что-то не припомню чтобы мне это когда-то понадобилось в данном контексте - поэтому возможность какая-то призрачная. Если вам очень это нужно - могу для вас персонально написать нужный модуль )) не за бесплатно конечно. Спасибо, конечно. но я еще на модуль полосы не заработал
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #12 : 14 Февраля 2010, 14:44:21 » |
|
тагда кАнЕчнААА
|
|
|
Записан
|
|
|
|
dimia
NoDeny
Пользователь
Карма: 1
Offline
Сообщений: 45
|
|
« Ответ #13 : 15 Февраля 2010, 11:30:15 » |
|
тагда кАнЕчнААА
хотя несколько строк на sql'е могут и решить эту проблему безвозмездно. если, конечна, эти строки уже существуют.
|
|
|
Записан
|
|
|
|
versus
|
|
« Ответ #14 : 15 Февраля 2010, 21:47:46 » |
|
Либастрал надо допилить и уже через него гнать скл запросы...
|
|
|
Записан
|
|
|
|
|