разборки на тему спама и доса

[dimia]

от вышестоящего провайдера поступила претензия по поводу рассылки спама кем-то из пользователей (25 порт открыт). юзеры сидят на серых адресах, в мир выходят через нат. версия 49.

вопрос - как вытащить из детализированной статистики трафик на определенный ип адрес, от кого и когда?

поделитесь опытом подобных разборок.

 

[elite]

от вышестоящего провайдера поступила претензия по поводу рассылки спама кем-то из пользователей (25 порт открыт). юзеры сидят на серых адресах, в мир выходят через нат. версия 49.

вопрос - как вытащить из детализированной статистики трафик на определенный ип адрес, от кого и когда?

поделитесь опытом подобных разборок.

 

а толку? это же не специально народ сидит спам рассылает, это вирусы у клиентов
проще закрыть по умолчания 25 порт ) и открывать тока по заявкам
как показывает практика, меньше 1% пользователей просят открыть 25 порт ))))

[dimia]

25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
 

[Cell]

25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
 

О чем это ты? если 25 порт будет закрыт, то на нет и суда нет, дропаться будет все и все дела.
Элит правильно говорит, единицы просят открыть 25 порт, при подключении спрашиваешь - нужен 25 порт (smtp), если спрашивают "а что это такое?" - значит не нужен ))

[dimia]

25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
 

О чем это ты? если 25 порт будет закрыт, то на нет и суда нет, дропаться будет все и все дела.
Элит правильно говорит, единицы просят открыть 25 порт, при подключении спрашиваешь - нужен 25 порт (smtp), если спрашивают "а что это такое?" - значит не нужен ))

с 25 портом понятно - это касается только спама.
остался вопрос с досом (DoS, DDoS атаки) со стороны пользователей в сторону инета. как найти ип пользователя, с которого такая атака производилась, допустим два дня назад с 3 до 4 ночи, если известен только адрес атакованного сервера в инете. у пользователей используются серые адреса.

[Cell]

Дос это серьезно ))
На самом деле дос подразумевает большой траффик. Вот и смотри, кто у тебя "раздавал" в указанное время. Все для этого есть. Можешь еще модуль контроля полосы заюзать и для каждого юзера персональный график рисовать.

[dimia]

Дос это серьезно ))
На самом деле дос подразумевает большой траффик. Вот и смотри, кто у тебя "раздавал" в указанное время. Все для этого есть. Можешь еще модуль контроля полосы заюзать и для каждого юзера персональный график рисовать.

у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление. нужен способ вытаскивания из детальной статистики трафика для определенного ип адреса в инете, от кого и когда это было. кто-нибудь такое уже делал?

зы. модуль полосы стоит в плане на второй квартал

[Cell]

у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление.

Да не нормальное это явление, я борюсь как могу, и на самом деле желание качать все подряд у 90% узеров пропадает на 2-3 месяц безлимита.
Насчет вычисления, все для этого есть.
выбираем статистика-справа внизу- число - далее время, получаем срез за это время и пользователи которые в это время качали, по процентам загрузки определяем кто был падлой (+- 5 человек) и смотрим у них детальную статистику - которая естественно не должна быть выключена при настройке тарифных планов. ВСЕ.

[dimia]

у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление.

Да не нормальное это явление, я борюсь как могу, и на самом деле желание качать все подряд у 90% узеров пропадает на 2-3 месяц безлимита.
Насчет вычисления, все для этого есть.
выбираем статистика-справа внизу- число - далее время, получаем срез за это время и пользователи которые в это время качали, по процентам загрузки определяем кто был падлой (+- 5 человек) и смотрим у них детальную статистику - которая естественно не должна быть выключена при настройке тарифных планов. ВСЕ.

новые фильмы выходят постоянно, поэтому всегда будет чего качать 

правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это  теоретически невозможно?

 

[Cell]

правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это  теоретически невозможно?

стандартной возможности нет ))) но за всю мою практику с 2003 года что-то не припомню чтобы мне это когда-то понадобилось в данном контексте - поэтому возможность какая-то призрачная. Если вам очень это нужно - могу для вас персонально написать нужный модуль )) не за бесплатно конечно.

[goletsa]

Никто не мешает поставить гденить на промежуточном узле netflow колектор и анализировать весь трафик в направлении тех подсетей.

Есть кстати хорошая утилка - ntop, которая умеет писать кто куда откуда и сколько в виде графиков.

Если например отфильтровать там трафик по подсети откуда идут жалобы то можно найти виновных. Только ессно это до ната должно стоять.

Кстати по поводу дос\ддос надо еще на фаерволах всех глушить netbios трафик чтобы вирусам создать препятсвие к распространению.

[dimia]

правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это  теоретически невозможно?

стандартной возможности нет ))) но за всю мою практику с 2003 года что-то не припомню чтобы мне это когда-то понадобилось в данном контексте - поэтому возможность какая-то призрачная. Если вам очень это нужно - могу для вас персонально написать нужный модуль )) не за бесплатно конечно.

Спасибо, конечно. но я еще на модуль полосы не заработал 

[Cell]

тагда кАнЕчнААА

[dimia]

тагда кАнЕчнААА

хотя несколько строк на sql'е могут и решить эту проблему безвозмездно. если, конечна, эти строки уже существуют.

[versus]

Либастрал надо допилить и уже через него гнать скл запросы...