|
|
| Автор |
Сообщение |
Nikitos
Зарегистрирован: 06.04.2004
Сообщения: 12618
Откуда: Москва
|
 Добавлено: Сб Мар 14, 2009 3:15 pm Заголовок сообщения: |
 |
|
| Терик писал(а): |
| На нем стоит какой нить спам-фильтр типа ОРФ и тп? |
Да, он и стоит. И Symantec Information Foundation Mail Security for MS ISA. |
|
| Вернуться к началу |
|
ghost_ufa
Зарегистрирован: 04.04.2008
Сообщения: 868
Откуда: Уфа
|
| Добавлено: Пн Мар 23, 2009 4:30 pm Заголовок сообщения: |
|
|
Ну че я могу сказать... Я бы поставил внешний роутер на линухе и с постфиксом, и на нем бы уже и считалку поднимал (рекомендуется NetAcct 0.73) и спамеров отрубал разбором логов постфикса и баном через iptables.
Хотя... почему "поставил бы" - у нас именно так и работает  Вопросов "куда делся трафик" не возникает. |
|
| Вернуться к началу |
|
Nikitos
Зарегистрирован: 06.04.2004
Сообщения: 12618
Откуда: Москва
|
| Добавлено: Пн Мар 30, 2009 4:38 am Заголовок сообщения: |
|
|
| Ghost_ufa писал(а): |
| Ну че я могу сказать... Я бы поставил внешний роутер на линухе и с постфиксом, и на нем бы уже и считалку поднимал |
Никто не будет тратить полтинник на то, чтобы выяснить, откуда взялась переплата в пятнаху. В конторе, где десяток пользователей среднего уровня и я - приходящий сисадмин, нет нужды переделывать IT-систему так глубоко и серьезно.
Линух я не знаю, тратить на этот вопрос пару недель глубокого ковыряния возможности нет.
Провайдер прислал подробный лог за 6 февраля, из которого беглым осмотром видно, что в период времени с 11:00 до 22:00 были скачаны эти злосчастные 8 гигов. Лог-файл имеет формат
Дата/время;IP адрес источника;IP адрес получателя;Объем переданных данных в байтах;Порт источника;Порт приемника;Количество переданных пакетов
и данные за интересующий период представляют собой почти 50 тысяч строк.
Чем сделать автоматизированный анализ?
Айпишники разные, порты последовательно увеличиваются, характерный объем - 4 Мб. Пример вот:
| Код: |
06.02.2009 11:36:23 213.155.158.40 мой прокси 4321588 80 24190 2883
06.02.2009 11:36:23 205.188.8.108 мой прокси 40 5190 22759 1
06.02.2009 11:36:23 213.155.158.74 мой прокси 4848088 80 24188 3234
06.02.2009 11:36:23 мой прокси 80.250.216.253 71 1285 53 1
06.02.2009 11:36:23 80.250.216.253 мой прокси 196 53 1285 1
06.02.2009 11:36:23 мой прокси 213.155.158.41 55076 24191 80 1368
06.02.2009 11:36:39 213.155.158.41 мой прокси 4162588 80 24191 2777
06.02.2009 11:36:39 213.155.158.74 мой прокси 1500 80 24188 1
06.02.2009 11:36:39 мой прокси 213.155.158.40 56664 24192 80 1411
06.02.2009 11:36:55 213.155.158.40 мой прокси 4279588 80 24192 2855
06.02.2009 11:36:55 мой прокси 87.242.75.108 993 24194 80 5
06.02.2009 11:36:55 87.242.75.108 мой прокси 903 80 24194 4
06.02.2009 11:36:58 мой прокси 213.155.158.74 60584 24193 80 1509
06.02.2009 11:37:04 мой прокси 205.188.7.209 50 21703 5190 1
06.02.2009 11:37:04 205.188.7.209 мой прокси 40 5190 21703 1
06.02.2009 11:37:11 213.155.158.74 мой прокси 4641088 80 24193 3096
06.02.2009 11:37:11 213.155.158.74 мой прокси 1500 80 24188 1
06.02.2009 11:37:11 мой прокси 213.155.158.41 55224 24195 80 1375
06.02.2009 11:37:21 мой прокси 205.188.8.108 46 22759 5190 1
06.02.2009 11:37:21 205.188.8.108 мой прокси 40 5190 22759 1
06.02.2009 11:37:26 213.155.158.41 мой прокси 4221088 80 24195 2816
06.02.2009 11:37:30 мой прокси 213.155.158.40 56024 24196 80 1395
06.02.2009 11:37:44 213.155.158.40 мой прокси 4353088 80 24196 2904
06.02.2009 11:37:46 мой прокси 213.155.158.74 61264 24197 80 1526
06.02.2009 11:38:00 213.155.158.74 мой прокси 4645588 80 24197 3099 |
чтобы виднее было разделение по столбцам картинка того же самого:
 |
|
| Вернуться к началу |
|
XAPuTOH
Зарегистрирован: 20.11.2003
Сообщения: 6861
Откуда: Уфа
|
| Добавлено: Пн Мар 30, 2009 8:08 am Заголовок сообщения: |
|
|
А может с другой стороны зайти и глянуть на рабочих компах файлы с временем создания в период с 11 до 22?
Если "Объем объем переданных данных" совпадает с размером файла то можно еще по размеру файла поиск учинить |
|
| Вернуться к началу |
|
АГВ :)
Зарегистрирован: 13.11.2006
Сообщения: 4597
Откуда: Уфа, Сипайлово
|
| Добавлено: Пн Мар 30, 2009 8:45 am Заголовок сообщения: |
|
|
| Поставить считалку t-meter. В и-нете есть вылеченные экземпляры. У провайдера выбить детализированный отчет состоящий из 2-х колонок IP и octets. Мне это помогло найти 15 потерянных гигов |
|
| Вернуться к началу |
|
ghost_ufa
Зарегистрирован: 04.04.2008
Сообщения: 868
Откуда: Уфа
|
| Добавлено: Пн Мар 30, 2009 10:05 am Заголовок сообщения: |
|
|
| Nikitos писал(а): |
Никто не будет тратить полтинник на то, чтобы выяснить, откуда взялась переплата в пятнаху.
|
(тупо) А куда полтинник? НА ЧТО полтинник? Первопневая машина валяется в углу любой конторы, линух бесплатен, осталось найти две сетюшки, объединить в бридж и воткнуть в разрыв шнурка к прову. Всех затрат - час на конфигурирование, с виндовыми тулзами дольше провозишься.
| Nikitos писал(а): |
| Линух я не знаю, тратить на этот вопрос пару недель глубокого ковыряния возможности нет. |
А. Это в корне меняет дело (С). Анализаторы трафика есть и для винды, но они все хотят денег, и ИМХО гораздо менее удобны.
| Nikitos писал(а): |
Провайдер прислал подробный лог за 6 февраля, из которого беглым осмотром видно, что в период времени с 11:00 до 22:00 были скачаны эти злосчастные 8 гигов. Лог-файл имеет формат
Дата/время;IP адрес источника;IP адрес получателя;Объем переданных данных в байтах;Порт источника;Порт приемника;Количество переданных пакетов
и данные за интересующий период представляют собой почти 50 тысяч строк.
Чем сделать автоматизированный анализ?
|
ИМХО импортировать в MS Access - он такой формат всосет легко, объем для него мизерный. Потом медитативно сочинять запросы.
| Nikitos писал(а): |
| Пример вот: |
странные какие-то адреса... Десяток взятых навскидку не находятся ни по rDNS ни по WhoIs. Но все крупные пакеты шли по протоколу HTTP, так что неплохо было бы еще логи прокси посмотреть... |
|
| Вернуться к началу |
|
kkv
Зарегистрирован: 22.04.2003
Сообщения: 19087
Откуда: Москва-Уфа
|
|
| Вернуться к началу |
|
Nikitos
Зарегистрирован: 06.04.2004
Сообщения: 12618
Откуда: Москва
|
| Добавлено: Пн Мар 30, 2009 10:18 am Заголовок сообщения: |
|
|
| DVG писал(а): |
| У провайдера выбить детализированный отчет состоящий из 2-х колонок IP и octets. |
Отчет есть, вон же кусочек оттуда.
| Ghost_ufa писал(а): |
| странные какие-то адреса... Десяток взятых навскидку не находятся ни по rDNS ни по WhoIs. Но все крупные пакеты шли по протоколу HTTP, так что неплохо было бы еще логи прокси посмотреть... |
Вообще-то выяснилось, что 213.155.158. - это сети Akamai Tech, контент-прокси провайдер. Через них и мелкософт свой контент проксирует. Есть вот занятная инфа. Так что есть основания полагать, что что-то криво и мучительно обновлялось, та же ISA к примеру... |
|
| Вернуться к началу |
|
ghost_ufa
Зарегистрирован: 04.04.2008
Сообщения: 868
Откуда: Уфа
|
| Добавлено: Пн Мар 30, 2009 10:30 am Заголовок сообщения: |
|
|
| Вот потому и говорю про логи прокси - чтобы видеть к какому именно из виртуальных хостов оно ломилось. Пров случаем на прозрачный прокси трафик не заворачивает? |
|
| Вернуться к началу |
|
Nikitos
Зарегистрирован: 06.04.2004
Сообщения: 12618
Откуда: Москва
|
| Добавлено: Пн Мар 30, 2009 10:46 am Заголовок сообщения: |
|
|
| Ghost_ufa писал(а): |
| Вот потому и говорю про логи прокси |
Лог моего прокси? Там нет этого трафика, из-за чего и весь сыр-бор. |
|
| Вернуться к началу |
|
|
Вебкамеры
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
