-
/1247620-2885312134_1e80bd8362_o.jpg)
Атака на Интернет
Теги:
Mishka
Собственно сабж - в понедельник началась DDOS атака на 13 главных (root) DNS Servers. Продолжалась она несколько часов, но Интернет пережил.
Вот пара ссылок:
1. Интервью с одним из отцов Интернета Стивом Крокером
He sees both good news and bad in Monday's attack against the Internet's DNS root server system.
// computerworld.com
2.
A denial-of-service attack on the core infrastructure of the Internet occurred Monday, but no major outages were reported. The FBI is investigating.
// computerworld.com
Вот пара ссылок:
1. Интервью с одним из отцов Интернета Стивом Крокером
Q&A: Internet pioneer Stephen Crocker on this week's DDOS attack
He sees both good news and bad in Monday's attack against the Internet's DNS root server system.
// computerworld.com
2.
Net backbone withstands major attack
A denial-of-service attack on the core infrastructure of the Internet occurred Monday, but no major outages were reported. The FBI is investigating.
// computerworld.com
инфо
инструменты
=KRoN=
Так, всё ясно. По поводу вируса "cinik" в Блин, троянец, что ли? И не вспомню, откуда эти логин/пароль...
Это как раз оказался Slapper, который через дыру в OpenSSL взламывает компьютер жертвы и организует P2P-сеть, которая потом и используется для распределённой DDoS-атаки. Влетел я с этим делом, минимум, на $60 входящего траффика... Такие дела.
Это как раз оказался Slapper, который через дыру в OpenSSL взламывает компьютер жертвы и организует P2P-сеть, которая потом и используется для распределённой DDoS-атаки. Влетел я с этим делом, минимум, на $60 входящего траффика... Такие дела.
Всё, полный кирдык... У провайдера не исходящий траффик бесплатный, а оплата доминирующего. За 4 часа работы червя ушло 10.7Гб. Мне "пошли на встречу" - разрешили оплатить по закупочной цене - 5 центов за мегабайт. Итого влетел более чем на $500... Такие дела. Я в полном дауне.
varban
Мляааа 
Слушай, раз такое дело, то в рассрочку надо платить, ведь не один ты пострадал...
Слушай, раз такое дело, то в рассрочку надо платить, ведь не один ты пострадал...
Да, договорились в рассрочку, до Нового года.
Ладно, ужасно жалко денег, но это я осилю. Вот хреново, что я теперь к серверу Авиабазы добавить нескоро смогу, а планировал ~$300 на это... Так что всё затягивается ещё...
Ладно, ужасно жалко денег, но это я осилю. Вот хреново, что я теперь к серверу Авиабазы добавить нескоро смогу, а планировал ~$300 на это... Так что всё затягивается ещё...
На самом деле достала чернуха сплошная за последний месяц или более... Чуть ли не каждый день какая-то хрень случается... Эти $500 - это просто несколько из ряда вон, но не так, чтобы уж слищком. В общем, устал я от всего этого...
Да, народ, а ведь вирусная P2P сеть - это нечто новое...
Заражено от 14 до 30 тыс. хостов. Вы только представьте, ЧТО можно учинить такой сетью при желании!
Заражено от 14 до 30 тыс. хостов. Вы только представьте, ЧТО можно учинить такой сетью при желании!
Рома, я понял, что это с домашнего? Тут дело такое - надо договариваться с провайдером насчет атак - чтобы он моментально по цепочке провайдеров наверх подымался и там работал. Трафик надо пытаться скидавать бесплатно. В принципе, провайдер должен по неписанному кодексу, атаки сам высматривать и убивать. В Америке, у болшинства провайдеров можно поставить фильтрацию на их собственных раутерах и до тебя трафик не добегает. Сколько работал комп для генерации такого трафика? Кстати, спроси у провайдера, что они намерены делать in case of death ping? В этой ситуации, ты вообще не контролирушь что тебе шлют. А еще совет, если у тебя DSL линия, то не стой подключенным 24 часа - кидай трубку после, ну скажем, 15 минут. Тогда атака на тебя тебе ничего не должна стоить. Если не гоняешь серверов, то установи stealth mode - пусть комп роняет все пинговые пакеты (ICMP echo) - большинство скриптов так ищут новые машины.
=KRoN=>Да, народ, а ведь вирусная P2P сеть - это нечто новое...
=KRoN=>Заражено от 14 до 30 тыс. хостов. Вы только представьте, ЧТО можно учинить такой сетью при желании!
Да это уже как несколько лет уже. Координировались первые через боты в чат комнатах. А сейчас совсем в сторонц P2P пошли. Ты с провайдером пробуй договориться - это нонсенс платить за атаку на тебя. Если от тебя ушло, то другое дело. И провайдеру такой трафик должны скостить.
=KRoN=>Заражено от 14 до 30 тыс. хостов. Вы только представьте, ЧТО можно учинить такой сетью при желании!
Да это уже как несколько лет уже. Координировались первые через боты в чат комнатах. А сейчас совсем в сторонц P2P пошли. Ты с провайдером пробуй договориться - это нонсенс платить за атаку на тебя. Если от тебя ушло, то другое дело. И провайдеру такой трафик должны скостить.
Кстати, когда подписывал договор - как там сформулированы правила расчета оплаты?
Mishka>Рома, я понял, что это с домашнего?
Угу.
Mishka>Тут дело такое - надо договариваться с провайдером насчет атак - чтобы он моментально по цепочке провайдеров наверх подымался и там работал.
Провайдер ночами спит. А когда они утром пришли - я к тому времени и сам проснулся и всё залечил. Другое дело, что за эти 4..5 часов (червь пробился где ~4 часа ночи) он и успел накачать 10Гб. Канал очень хороший, блин...
Mishka>Трафик надо пытаться скидавать бесплатно. В принципе, провайдер должен по неписанному кодексу, атаки сам высматривать и убивать.
Увы, у нас не так.
Mishka>Сколько работал комп для генерации такого трафика? Кстати, спроси у провайдера, что они намерены делать in case of death ping? В этой ситуации, ты вообще не контролирушь что тебе шлют.
Угу. Меня ж после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
Mishka>А еще совет, если у тебя DSL линия, то не стой подключенным 24 часа - кидай трубку после, ну скажем, 15 минут.
У меня обычная сетка десятимегабитка. Прямо через роутер выход на точку M9. Отрубать на ночь, конечно, можно, но она и почтовый сервер по совместительству... А так - достаточно только внешний интерфейс на ночь опускать.
Mishka>Ты с провайдером пробуй договориться - это нонсенс платить за атаку на тебя.
Дык, а что делать, коли провайдеру пришёл счёт от более высокостоящего на соответствующую сумму?
Mishka>Кстати, когда подписывал договор - как там сформулированы правила расчета оплаты?
А это вообще тёмный лес. Непосредственно в договоре про оплату ни слова нету. На сайте было "за входящий - столько-то, исходящий - бесплатно". Теперь - "за преобладающий - столько-то"...
Угу.
Mishka>Тут дело такое - надо договариваться с провайдером насчет атак - чтобы он моментально по цепочке провайдеров наверх подымался и там работал.
Провайдер ночами спит. А когда они утром пришли - я к тому времени и сам проснулся и всё залечил. Другое дело, что за эти 4..5 часов (червь пробился где ~4 часа ночи) он и успел накачать 10Гб. Канал очень хороший, блин...
Mishka>Трафик надо пытаться скидавать бесплатно. В принципе, провайдер должен по неписанному кодексу, атаки сам высматривать и убивать.
Увы, у нас не так.
Mishka>Сколько работал комп для генерации такого трафика? Кстати, спроси у провайдера, что они намерены делать in case of death ping? В этой ситуации, ты вообще не контролирушь что тебе шлют.
Угу. Меня ж после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
Mishka>А еще совет, если у тебя DSL линия, то не стой подключенным 24 часа - кидай трубку после, ну скажем, 15 минут.
У меня обычная сетка десятимегабитка. Прямо через роутер выход на точку M9. Отрубать на ночь, конечно, можно, но она и почтовый сервер по совместительству... А так - достаточно только внешний интерфейс на ночь опускать.
Mishka>Ты с провайдером пробуй договориться - это нонсенс платить за атаку на тебя.
Дык, а что делать, коли провайдеру пришёл счёт от более высокостоящего на соответствующую сумму?
Mishka>Кстати, когда подписывал договор - как там сформулированы правила расчета оплаты?
А это вообще тёмный лес. Непосредственно в договоре про оплату ни слова нету. На сайте было "за входящий - столько-то, исходящий - бесплатно". Теперь - "за преобладающий - столько-то"...
Однако!
А что, у них не было ограничений на трафик, создаваемый сайтом???
Типа больше 100 Мбайт/час - отрубаем???Ню-ню...
Или такого вообще ни у кого нет?
А что, у них не было ограничений на трафик, создаваемый сайтом???
Типа больше 100 Мбайт/час - отрубаем???Ню-ню...
Или такого вообще ни у кого нет?
Vale>А что, у них не было ограничений на трафик, создаваемый сайтом???
Это не сайт, повторюсь, это мой домашний сервер.
Vale>Типа больше 100 Мбайт/час - отрубаем???Ню-ню...
Нет, даётся прямое подключение и делай что хочешь, только за траффик плати.
Vale> Или такого вообще ни у кого нет?
У кого-то, может, и есть. Эти тоже по просьбе могут посадить в интранет-сеть за firewall/proxy и кукуй там. Но мне-то как раз прямой Интернет удобнее.
Это не сайт, повторюсь, это мой домашний сервер.
Vale>Типа больше 100 Мбайт/час - отрубаем???Ню-ню...
Нет, даётся прямое подключение и делай что хочешь, только за траффик плати.
Vale>
Или такого вообще ни у кого нет?У кого-то, может, и есть. Эти тоже по просьбе могут посадить в интранет-сеть за firewall/proxy и кукуй там. Но мне-то как раз прямой Интернет удобнее.
=KRoN=>Провайдер ночами спит. А когда они утром пришли - я к тому времени и сам проснулся и всё залечил. Другое дело, что за эти 4..5 часов (червь пробился где ~4 часа ночи) он и успел накачать 10Гб. Канал очень хороший, блин...
И что никакой поддержки ночью - никакого дежурного?
=KRoN=>Угу. Меня ж после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
В таких случаях ставят фильтры на раутерах провайдера. Вообще-то верхний провайдер может отключить нижнего, если считается, что нижний не хочет лечить свои сетки. Поэтому и нужны эти телодвижения среди провайдеров - типа - твой клиент атакует, прикрой его и разберись.
=KRoN=>У меня обычная сетка десятимегабитка. Прямо через роутер выход на точку M9. Отрубать на ночь, конечно, можно, но она и почтовый сервер по совместительству... А так - достаточно только внешний интерфейс на ночь опускать.
А какой раутер? может тебе не надо 10 и можно трафик шейпинг на стороне провайедера установить? В Cisco пару команд. Плюс Киськи умные звери и можно роутер настроить так, что он будет анализировать протокол и многие вещи рубить. Только серию надо помощнее.
=KRoN=>Дык, а что делать, коли провайдеру пришёл счёт от более высокостоящего на соответствующую сумму?
А для этого поднимаются по цепочке на верх, а потом вниз до того, который/которые атакуют.
=KRoN=>А это вообще тёмный лес. Непосредственно в договоре про оплату ни слова нету. На сайте было "за входящий - столько-то, исходящий - бесплатно". Теперь - "за преобладающий - столько-то"...
Вот это да. Насколько я понимаю, это должно быть в приложении. И даже по Российским законам, любое изменение должно быть тебе сообщено.
И что никакой поддержки ночью - никакого дежурного?
=KRoN=>Угу. Меня ж после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
В таких случаях ставят фильтры на раутерах провайдера. Вообще-то верхний провайдер может отключить нижнего, если считается, что нижний не хочет лечить свои сетки. Поэтому и нужны эти телодвижения среди провайдеров - типа - твой клиент атакует, прикрой его и разберись.
=KRoN=>У меня обычная сетка десятимегабитка. Прямо через роутер выход на точку M9. Отрубать на ночь, конечно, можно, но она и почтовый сервер по совместительству... А так - достаточно только внешний интерфейс на ночь опускать.
А какой раутер? может тебе не надо 10 и можно трафик шейпинг на стороне провайедера установить? В Cisco пару команд. Плюс Киськи умные звери и можно роутер настроить так, что он будет анализировать протокол и многие вещи рубить. Только серию надо помощнее.
=KRoN=>Дык, а что делать, коли провайдеру пришёл счёт от более высокостоящего на соответствующую сумму?
А для этого поднимаются по цепочке на верх, а потом вниз до того, который/которые атакуют.
=KRoN=>А это вообще тёмный лес. Непосредственно в договоре про оплату ни слова нету. На сайте было "за входящий - столько-то, исходящий - бесплатно". Теперь - "за преобладающий - столько-то"...
Вот это да. Насколько я понимаю, это должно быть в приложении. И даже по Российским законам, любое изменение должно быть тебе сообщено.
Mishka>И что никакой поддержки ночью - никакого дежурного?
Ага. А какая там поддержка, когда у них только роутер стоит и всё. И народа на этом роутере сейчас всего три человека (клиентов) - только начали в этот район расширяться.
Mishka>В таких случаях ставят фильтры на раутерах провайдера. Вообще-то верхний провайдер может отключить нижнего, если считается, что нижний не хочет лечить свои сетки. Поэтому и нужны эти телодвижения среди провайдеров - типа - твой клиент атакует, прикрой его и разберись.
По-моему, им всем пофиг, пока деньги платят. Как раз не так давно был случай у "соседнего" провайдера, когда у мужика что-то заглючило и он выкачал ~8Гб траффика. По $0.11/Мб. 800 баксов платить не захотел, начал скрываться, завели уголовное дело и т.п. В конеце концов заплатил "по-мирному".
Mishka>А какой раутер? может тебе не надо 10 и можно трафик шейпинг на стороне провайедера установить? В Cisco пару команд.
Да это, скорее, у меня надо ставить.
Mishka>Плюс Киськи умные звери и можно роутер настроить так
Там роутер - комп на FreeBSD.
Mishka>Вот это да. Насколько я понимаю, это должно быть в приложении. И даже по Российским законам, любое изменение должно быть тебе сообщено.
Вот хрен его знает, в общем... Я ж не юрист. Фактически, как мне сказали, когда оплата в договоре не указывается, и возникает противление сторон, то в суде рассматривается случай "деловой практики", т.е. смотрят, как дела в договорах других клиентов. А им сейчас, говорят, стали выдавать договора, где прямо говорится о преобладающем траффике.
Ага. А какая там поддержка, когда у них только роутер стоит и всё. И народа на этом роутере сейчас всего три человека (клиентов) - только начали в этот район расширяться.
Mishka>В таких случаях ставят фильтры на раутерах провайдера. Вообще-то верхний провайдер может отключить нижнего, если считается, что нижний не хочет лечить свои сетки. Поэтому и нужны эти телодвижения среди провайдеров - типа - твой клиент атакует, прикрой его и разберись.
По-моему, им всем пофиг, пока деньги платят. Как раз не так давно был случай у "соседнего" провайдера, когда у мужика что-то заглючило и он выкачал ~8Гб траффика. По $0.11/Мб. 800 баксов платить не захотел, начал скрываться, завели уголовное дело и т.п. В конеце концов заплатил "по-мирному".
Mishka>А какой раутер? может тебе не надо 10 и можно трафик шейпинг на стороне провайедера установить? В Cisco пару команд.
Да это, скорее, у меня надо ставить.
Mishka>Плюс Киськи умные звери и можно роутер настроить так
Там роутер - комп на FreeBSD.
Mishka>Вот это да. Насколько я понимаю, это должно быть в приложении. И даже по Российским законам, любое изменение должно быть тебе сообщено.
Вот хрен его знает, в общем... Я ж не юрист. Фактически, как мне сказали, когда оплата в договоре не указывается, и возникает противление сторон, то в суде рассматривается случай "деловой практики", т.е. смотрят, как дела в договорах других клиентов. А им сейчас, говорят, стали выдавать договора, где прямо говорится о преобладающем траффике.
Комментарий дружественного провайдерского админа:
Каждый раз, когда подобное случается, делаются попытки оставить крайным конечных юзеров и разбросать счета им по нисходящей провайдерской линии.
И каждый раз удается собрать не более 1/3 сумм... что в общем-то справедливо: каждый должен нести солидарно ответственность.
У крупного прова она больше, чем у конечного юзера.
Насчет 1/3 - обычно платят корпоративные юзеры, и то торгуются как на базаре. Физические лица на такое требование плюют с высокой колокольне, а мы их не напрягаем сильно - ведь отрубят проводок и перебегут к другому прову - это легко нынче.
Конкретный совет: не платить
Если отрубят, иди к другому.
Но он грит, что пров должен быть чокнутым, если будет напрягать.
Если дело дойдет до суда, храни логи (или наделай их ) и предъяви, факт, чтo 
Каждый раз, когда подобное случается, делаются попытки оставить крайным конечных юзеров и разбросать счета им по нисходящей провайдерской линии.
И каждый раз удается собрать не более 1/3 сумм... что в общем-то справедливо: каждый должен нести солидарно ответственность.
У крупного прова она больше, чем у конечного юзера.
Насчет 1/3 - обычно платят корпоративные юзеры, и то торгуются как на базаре. Физические лица на такое требование плюют с высокой колокольне, а мы их не напрягаем сильно - ведь отрубят проводок и перебегут к другому прову - это легко нынче.
Конкретный совет: не платить
Если отрубят, иди к другому.
Но он грит, что пров должен быть чокнутым, если будет напрягать.
Если дело дойдет до суда, храни логи (или наделай их
) и предъяви, факт, чтo можно по-всякому толковать, и уж во всяком случае в твою пользу. Если в российском законодательстве такой казус четче рассматривается, чем в болгарское, я буду весьма удивленquote:
... после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
Тут всё ещё хуже - я сегодня подписал у них бумажку, что обязуюсь выплатить означенную сумму. Правда, у нотариуса не заверяли, но...
Ещё момент есть.
У меня ifconfig выдаёт 1.8Гб исходящего (точнее - выдавал, но пришлось перезагрузиться). У провайдера в статистике на точке M9 - 10.7Гб. Разница, сами понимаете, ощутимая - платить $90 или $500... Вот и вопрос - что за траффик на интерфейсе показывает ifconfig? Кто врёт, провайдер или, напрмиер, ifconfig не учитывает заголовки пакетов?
Народ божится, что на M9 программа учёта наворочанная, сертифицированная, с ежемесячными проверками... За методику подсчёта ifconfig, понятно, я ручаться не могу. вдруг он заголовки пакетов не считает, а тут это - основной траффик.
Вообще, они не против, если я докажу, что мои 1.8Гб - "верные", а врёт М9. Но сами этим заниматься не будут.
Ещё момент есть.
У меня ifconfig выдаёт 1.8Гб исходящего (точнее - выдавал, но пришлось перезагрузиться). У провайдера в статистике на точке M9 - 10.7Гб. Разница, сами понимаете, ощутимая - платить $90 или $500... Вот и вопрос - что за траффик на интерфейсе показывает ifconfig? Кто врёт, провайдер или, напрмиер, ifconfig не учитывает заголовки пакетов?
Народ божится, что на M9 программа учёта наворочанная, сертифицированная, с ежемесячными проверками... За методику подсчёта ifconfig, понятно, я ручаться не могу. вдруг он заголовки пакетов не считает, а тут это - основной траффик.
Вообще, они не против, если я докажу, что мои 1.8Гб - "верные", а врёт М9. Но сами этим заниматься не будут.
Ну, а ifconfig - целокупная часть операционки 
, которая не нуждается в пошлых траффикомеров 
Надо проверить (тебе, на твоей машине!), считает ли оно заголовки пакетов или нет. И установить, что СЧИТАЕТ!
И наделать логи, если по какой-то причине ты еще их не наделал
А сертификация провайдерских считалок заключается в установлении факта, что они не считают траффик НИЖЕ, чем он на самом деле.
К примеру, у моего прова в килобайте - 1000 байт. А договариваемся-то на гигов - это уже больше 7%. Вот такие сертификаты
, которая не нуждается в пошлых траффикомеров Надо проверить (тебе, на твоей машине!), считает ли оно заголовки пакетов или нет. И установить, что СЧИТАЕТ!
И наделать логи, если по какой-то причине ты еще их не наделал
А сертификация провайдерских считалок заключается в установлении факта, что они не считают траффик НИЖЕ, чем он на самом деле.
К примеру, у моего прова в килобайте - 1000 байт. А договариваемся-то на гигов - это уже больше 7%. Вот такие сертификаты
Нет, логов, увы, нет. К тому же логи, как я понимаю, это только через ipchains/etc. Что тоже не безгрешно...
Тут, вот, знакомый говорит, что ifconfig заголовки должен считать, а проблема могла выйти из-за разных MTU. У меня-то MTU 1500 байт, а на оптоволокне, обычно, 64 байта
Тут, вот, знакомый говорит, что ifconfig заголовки должен считать, а проблема могла выйти из-за разных MTU. У меня-то MTU 1500 байт, а на оптоволокне, обычно, 64 байта
На AMZ :
=KRoN=>Как тебе удобнее - так и сделаем. У меня теперь до конца месяца траффик почти неограниченный...
Во, тоже вариант полюбовно договориться.
Ты им скажи, что не будешь свое право первой ночи использовать и не будешь доводить свой in траффик до $499.
Если же они не согласятся, хотя бы качай
Раз такой канал хороший, грех не воспользоваться.
А если они ограничат скорость, то не плати. Потому что они-то ну никак не заботятся о том, что клиент со своим траффиком делает.
Можно рассматривать эти их действия как попытку развести тебя на большую деньгу
Короче, не вешай нос и ищи комбинации.
Вляпался в нештатку, действуй нештатными средствами!
=KRoN=>Как тебе удобнее - так и сделаем. У меня теперь до конца месяца траффик почти неограниченный...
Во, тоже вариант полюбовно договориться.
Ты им скажи, что не будешь свое право первой ночи использовать и не будешь доводить свой in траффик до $499.
Если же они не согласятся, хотя бы качай
Раз такой канал хороший, грех не воспользоваться.
А если они ограничат скорость, то не плати. Потому что они-то ну никак не заботятся о том, что клиент со своим траффиком делает.
Можно рассматривать эти их действия как попытку развести тебя на большую деньгу
Короче, не вешай нос и ищи комбинации.
Вляпался в нештатку, действуй нештатными средствами!
=KRoN=>Ага. А какая там поддержка, когда у них только роутер стоит и всё. И народа на этом роутере сейчас всего три человека (клиентов) - только начали в этот район расширяться.
Понятно.
=KRoN=>По-моему, им всем пофиг, пока деньги платят. Как раз не так давно был случай у "соседнего" провайдера, когда у мужика что-то заглючило и он выкачал ~8Гб траффика. По $0.11/Мб. 800 баксов платить не захотел, начал скрываться, завели уголовное дело и т.п. В конеце концов заплатил "по-мирному".
Это самое простое. Поэтому и надо договариваться. А, кстати, вопрос - вот тебе сменили адрес, а по прежнему адресу пакеты-то сыпяться. Кто за них платит? Если провайдеру это пофиг, значит ему они бесплатно достаются и от тебя только денег хотят.
=KRoN=>Да это, скорее, у меня надо ставить.
С точки зрения оплаты - не поможет - до тебя-то добегает.
=KRoN=>Там роутер - комп на FreeBSD.
А что они конкретно используют - bind или zebra или же еще что-то?
=KRoN=>Вот хрен его знает, в общем... Я ж не юрист. Фактически, как мне сказали, когда оплата в договоре не указывается, и возникает противление сторон, то в суде рассматривается случай "деловой практики", т.е. смотрят, как дела в договорах других клиентов. А им сейчас, говорят, стали выдавать договора, где прямо говорится о преобладающем траффике.
Ни хрена себе, а как тут учитывать скидки? Кроме того, по закону сфера обслуживания не может работать без прейскуранта. И то, что написано у них на страничке, если дока нет, и есть прейскурант.
varban>Если дело дойдет до суда, храни логи (или наделай их ) и предъяви, факт, чтo
quote:
... после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
varban>можно по-всякому толковать, и уж во всяком случае в твою пользу. Если в российском законодательстве такой казус четче рассматривается, чем в болгарское, я буду весьма удивлен
Это правильно. Только надо быть поосторожнее с наездами.
KRoN>Тут всё ещё хуже - я сегодня подписал у них бумажку, что обязуюсь выплатить означенную сумму. Правда, у нотариуса не заверяли, но...
KRoN>Ещё момент есть.
KRoN>У меня ifconfig выдаёт 1.8Гб исходящего (точнее - выдавал, но пришлось перезагрузиться). У провайдера в статистике на точке M9 - 10.7Гб. Разница, сами понимаете, ощутимая - платить $90 или $500... Вот и вопрос - что за траффик на интерфейсе показывает ifconfig? Кто врёт, провайдер или, напрмиер, ifconfig не учитывает заголовки пакетов?
Насколько я знаю, он показывает количество прошедших байтов. Тогда вопрос провайдеру, как они учитывют служебую информацию? А не посчитали ли они и все пакеты после того, как сменили адрес?
KRoN>Народ божится, что на M9 программа учёта наворочанная, сертифицированная, с ежемесячными проверками... За методику подсчёта ifconfig, понятно, я ручаться не могу. вдруг он заголовки пакетов не считает, а тут это - основной траффик.
Вопрос в том - а откуда они данные берут? Сами протокол анализируют или из того же ifconfig-a?
KRoN>Вообще, они не против, если я докажу, что мои 1.8Гб - "верные", а врёт М9. Но сами этим заниматься не будут.
А можно у них спросить, что они примут за доказательство? Потому как это может быть просто отговорка. Как они с фрагментированными пакетами работают? А как с ICMP (ping & traceroute)? А как с multicasting? UDP? от этого может зависить многое.
Понятно.
=KRoN=>По-моему, им всем пофиг, пока деньги платят. Как раз не так давно был случай у "соседнего" провайдера, когда у мужика что-то заглючило и он выкачал ~8Гб траффика. По $0.11/Мб. 800 баксов платить не захотел, начал скрываться, завели уголовное дело и т.п. В конеце концов заплатил "по-мирному".
Это самое простое. Поэтому и надо договариваться. А, кстати, вопрос - вот тебе сменили адрес, а по прежнему адресу пакеты-то сыпяться. Кто за них платит? Если провайдеру это пофиг, значит ему они бесплатно достаются и от тебя только денег хотят.
=KRoN=>Да это, скорее, у меня надо ставить.
С точки зрения оплаты - не поможет - до тебя-то добегает.
=KRoN=>Там роутер - комп на FreeBSD.
А что они конкретно используют - bind или zebra или же еще что-то?
=KRoN=>Вот хрен его знает, в общем... Я ж не юрист. Фактически, как мне сказали, когда оплата в договоре не указывается, и возникает противление сторон, то в суде рассматривается случай "деловой практики", т.е. смотрят, как дела в договорах других клиентов. А им сейчас, говорят, стали выдавать договора, где прямо говорится о преобладающем траффике.
Ни хрена себе, а как тут учитывать скидки? Кроме того, по закону сфера обслуживания не может работать без прейскуранта. И то, что написано у них на страничке, если дока нет, и есть прейскурант.
varban>Если дело дойдет до суда, храни логи (или наделай их ) и предъяви, факт, чтo
quote:
... после того, как прибил червя как раз начали DOS'ить большими пакетами, которые отбрасывались, но в траффике считались. Что делать - никто не знает. Просто заменили IP.
varban>можно по-всякому толковать, и уж во всяком случае в твою пользу. Если в российском законодательстве такой казус четче рассматривается, чем в болгарское, я буду весьма удивлен
Это правильно. Только надо быть поосторожнее с наездами.
KRoN>Тут всё ещё хуже - я сегодня подписал у них бумажку, что обязуюсь выплатить означенную сумму. Правда, у нотариуса не заверяли, но...
KRoN>Ещё момент есть.
KRoN>У меня ifconfig выдаёт 1.8Гб исходящего (точнее - выдавал, но пришлось перезагрузиться). У провайдера в статистике на точке M9 - 10.7Гб. Разница, сами понимаете, ощутимая - платить $90 или $500... Вот и вопрос - что за траффик на интерфейсе показывает ifconfig? Кто врёт, провайдер или, напрмиер, ifconfig не учитывает заголовки пакетов?
Насколько я знаю, он показывает количество прошедших байтов. Тогда вопрос провайдеру, как они учитывют служебую информацию? А не посчитали ли они и все пакеты после того, как сменили адрес?
KRoN>Народ божится, что на M9 программа учёта наворочанная, сертифицированная, с ежемесячными проверками... За методику подсчёта ifconfig, понятно, я ручаться не могу. вдруг он заголовки пакетов не считает, а тут это - основной траффик.
Вопрос в том - а откуда они данные берут? Сами протокол анализируют или из того же ifconfig-a?
KRoN>Вообще, они не против, если я докажу, что мои 1.8Гб - "верные", а врёт М9. Но сами этим заниматься не будут.
А можно у них спросить, что они примут за доказательство? Потому как это может быть просто отговорка. Как они с фрагментированными пакетами работают? А как с ICMP (ping & traceroute)? А как с multicasting? UDP? от этого может зависить многое.
varban>Во, тоже вариант полюбовно договориться.
varban>Ты им скажи, что не будешь свое право первой ночи использовать и не будешь доводить свой in траффик до $499.
Нет, "мой"-то провайдер тоже за входящий теперь платить за меня не будет эти оставшиеся дни. А с их суперпровайдерами у меня всё равно пока контакта нет. Да и наплевать им на это, полагаю... Им-то сумма будет ещё меньше, так что скорее всего, даже не задумаются.
varban>Если же они не согласятся, хотя бы качай
varban>Раз такой канал хороший, грех не воспользоваться.
Это-то понятно... Хоть бэкап Авиабазы полный сделаю Вот только, по-моему, за $500 - дороговато
varban>Вляпался в нештатку, действуй нештатными средствами!
Стараюсь... Но тяжело воевать на чужом поле
varban>Ты им скажи, что не будешь свое право первой ночи использовать и не будешь доводить свой in траффик до $499.
Нет, "мой"-то провайдер тоже за входящий теперь платить за меня не будет эти оставшиеся дни. А с их суперпровайдерами у меня всё равно пока контакта нет. Да и наплевать им на это, полагаю... Им-то сумма будет ещё меньше, так что скорее всего, даже не задумаются.
varban>Если же они не согласятся, хотя бы качай
varban>Раз такой канал хороший, грех не воспользоваться.
Это-то понятно... Хоть бэкап Авиабазы полный сделаю
Вот только, по-моему, за $500 - дороговато varban>Вляпался в нештатку, действуй нештатными средствами!
Стараюсь... Но тяжело воевать на чужом поле
Mishka>вот тебе сменили адрес, а по прежнему адресу пакеты-то сыпяться. Кто за них платит?
Как я понял, платит провайдер на M9. Т.е. более высокостоящий. Впрочем, как оттуда сообщили "моим", пакеты сыпаться перестали.
Зато узнал тут инте-е-е-ресную особенность... Оказывается, входящий пакет принимается целиком и только потом анализируется системой. Т.е. даже в наглухо закрытую машину можно толкать огромные пакеты и генерить ей входящий траффик. Более того, в 90% случаев эти пакеты будут отвергаться с генерацией исходящего траффика. Бесподобный способ вредить ближнему своему, сидящему на дорогой выделенке
=KRoN=>>Там роутер - комп на FreeBSD.
Mishka>А что они конкретно используют - bind или zebra или же еще что-то?
ХЗ, не интересовался. Только bind же - это DNS-сервер?
Mishka>Ни хрена себе, а как тут учитывать скидки? Кроме того, по закону сфера обслуживания не может работать без прейскуранта. И то, что написано у них на страничке, если дока нет, и есть прейскурант.
В том-то и дело, что слова про "доминирующий траффик" появились у них только сегодня. Полагаю именно после этого происшествия - До этого было "исходящий - бесплатно".
Mishka>Это правильно. Только надо быть поосторожнее с наездами.
Угу. И с провайдером пока ссориться неохота - альтернативы тут пока нет. Да и вообще, дело до суда может дойти.
Mishka>Насколько я знаю, он показывает количество прошедших байтов. Тогда вопрос провайдеру, как они учитывют служебую информацию? А не посчитали ли они и все пакеты после того, как сменили адрес?
Да нет, 10Гб с лишним это набежало до смены адреса. После смены был только входящий и относительно небольшой (~сотня килобайт в секунду.)
Mishka>Вопрос в том - а откуда они данные берут? Сами протокол анализируют или из того же ifconfig-a?
Я сейчас запросил у них детализацию траффика. Представляю, что ЭТО за лог будет Впрочем, их проблемы...
Mishka>А можно у них спросить, что они примут за доказательство? Потому как это может быть просто отговорка. Как они с фрагментированными пакетами работают? А как с ICMP (ping & traceroute)? А как с multicasting? UDP? от этого может зависить многое.
Кстати, вирус как раз UDP-пакеты и генерит...
Как я понял, платит провайдер на M9. Т.е. более высокостоящий. Впрочем, как оттуда сообщили "моим", пакеты сыпаться перестали.
Зато узнал тут инте-е-е-ресную особенность... Оказывается, входящий пакет принимается целиком и только потом анализируется системой. Т.е. даже в наглухо закрытую машину можно толкать огромные пакеты и генерить ей входящий траффик. Более того, в 90% случаев эти пакеты будут отвергаться с генерацией исходящего траффика. Бесподобный способ вредить ближнему своему, сидящему на дорогой выделенке
=KRoN=>>Там роутер - комп на FreeBSD.
Mishka>А что они конкретно используют - bind или zebra или же еще что-то?
ХЗ, не интересовался. Только bind же - это DNS-сервер?
Mishka>Ни хрена себе, а как тут учитывать скидки? Кроме того, по закону сфера обслуживания не может работать без прейскуранта. И то, что написано у них на страничке, если дока нет, и есть прейскурант.
В том-то и дело, что слова про "доминирующий траффик" появились у них только сегодня. Полагаю именно после этого происшествия - До этого было "исходящий - бесплатно".
Mishka>Это правильно. Только надо быть поосторожнее с наездами.
Угу. И с провайдером пока ссориться неохота - альтернативы тут пока нет. Да и вообще, дело до суда может дойти.
Mishka>Насколько я знаю, он показывает количество прошедших байтов. Тогда вопрос провайдеру, как они учитывют служебую информацию? А не посчитали ли они и все пакеты после того, как сменили адрес?
Да нет, 10Гб с лишним это набежало до смены адреса. После смены был только входящий и относительно небольшой (~сотня килобайт в секунду.)
Mishka>Вопрос в том - а откуда они данные берут? Сами протокол анализируют или из того же ifconfig-a?
Я сейчас запросил у них детализацию траффика. Представляю, что ЭТО за лог будет
Впрочем, их проблемы...Mishka>А можно у них спросить, что они примут за доказательство? Потому как это может быть просто отговорка. Как они с фрагментированными пакетами работают? А как с ICMP (ping & traceroute)? А как с multicasting? UDP? от этого может зависить многое.
Кстати, вирус как раз UDP-пакеты и генерит...
=KRoN=>Как я понял, платит провайдер на M9. Т.е. более высокостоящий. Впрочем, как оттуда сообщили "моим", пакеты сыпаться перестали.
по опыту провадерства в Кишиневе, большому провадеру за трафик не выставляют. Обычно пропускная способность и за нее платишь - скажем канал на 2 мегабита - 3000 уе в месяц - а там, полностью забитый или нет - твои дела. Хотя вру - на спутниковых может и по трафику меряться.
=KRoN=>Зато узнал тут инте-е-е-ресную особенность... Оказывается, входящий пакет принимается целиком и только потом анализируется системой. Т.е. даже в наглухо закрытую машину можно толкать огромные пакеты и генерить ей входящий траффик. Более того, в 90% случаев эти пакеты будут отвергаться с генерацией исходящего траффика. Бесподобный способ вредить ближнему своему, сидящему на дорогой выделенке
Я потому про пинг и спрашивал. Echo пакеты обрабатываются стеком IP и до TCP и пользователя даже не проходят.
а ifconfig должен считать байты на уровне MAC - т.е. Ethernret фрэймов. Даже MAC адреса (48+48 бит) должен добавлять.
А ты никогда не слышал про ping of death? это такая DDOS (MSDOS - когда обсуждали термин DDOS, то кто предложил MultiSource Denial Of Service). Суть такова, что ты посылаешь очень часто ping пакеты большого объема. Т.к. это ICMP трафик, то ни до TCP, ни до UDP не доходит, система разбирается сама, но не позже, чем получит весь пакет и проверит контрольные суммы. На Виндах размер задать можно, а вот flooding нет, а на Юнихах - с root правами пожалуйста. Хотя на 2000 и ХР с новыми сокетами, где есть возможность создания raw packets, написать такую программку раз плюнуть. А вообще-то идея не новоя. Мы активно обсуждали как разорить человека с сотовым телефоном - абсолютно так же.
=KRoN=>>>Там роутер - комп на FreeBSD.
Mishka>>А что они конкретно используют - bind или zebra или же еще что-то?
Bind - это у меня крыша уехала в связи с атакой на Интернет - там как раз это и атаковалось. А Zebra - это opensource routing.
=KRoN=>ХЗ, не интересовался. Только bind же - это DNS-сервер?
=KRoN=>В том-то и дело, что слова про "доминирующий траффик" появились у них только сегодня. Полагаю именно после этого происшествия - До этого было "исходящий - бесплатно".
А распечатки странички не сохранилось? А то закон обратного действия не имеет.
=KRoN=>Угу. И с провайдером пока ссориться неохота - альтернативы тут пока нет. Да и вообще, дело до суда может дойти.
Печально.
Mishka>>Насколько я знаю, он показывает количество прошедших байтов. Тогда вопрос провайдеру, как они учитывют служебую информацию? А не посчитали ли они и все пакеты после того, как сменили адрес?
Смотри выше.
=KRoN=>Да нет, 10Гб с лишним это набежало до смены адреса. После смены был только входящий и относительно небольшой (~сотня килобайт в секунду.)
А как они считали? Если по адресу, то надо смотреть как со временем.
Mishka>>Вопрос в том - а откуда они данные берут? Сами протокол анализируют или из того же ifconfig-a?
=KRoN=>Я сейчас запросил у них детализацию траффика. Представляю, что ЭТО за лог будет Впрочем, их проблемы...
И еще надо узнать откуда детализация взята - как статистику считали.
=KRoN=>Кстати, вирус как раз UDP-пакеты и генерит...
Ну, с UDP еще попроще - это все-таки в верхнем уровне. А вот ICMP совсем плохо.
по опыту провадерства в Кишиневе, большому провадеру за трафик не выставляют. Обычно пропускная способность и за нее платишь - скажем канал на 2 мегабита - 3000 уе в месяц - а там, полностью забитый или нет - твои дела. Хотя вру - на спутниковых может и по трафику меряться.
=KRoN=>Зато узнал тут инте-е-е-ресную особенность... Оказывается, входящий пакет принимается целиком и только потом анализируется системой. Т.е. даже в наглухо закрытую машину можно толкать огромные пакеты и генерить ей входящий траффик. Более того, в 90% случаев эти пакеты будут отвергаться с генерацией исходящего траффика. Бесподобный способ вредить ближнему своему, сидящему на дорогой выделенке
Я потому про пинг и спрашивал. Echo пакеты обрабатываются стеком IP и до TCP и пользователя даже не проходят.
а ifconfig должен считать байты на уровне MAC - т.е. Ethernret фрэймов. Даже MAC адреса (48+48 бит) должен добавлять.
А ты никогда не слышал про ping of death? это такая DDOS (MSDOS - когда обсуждали термин DDOS, то кто предложил MultiSource Denial Of Service). Суть такова, что ты посылаешь очень часто ping пакеты большого объема. Т.к. это ICMP трафик, то ни до TCP, ни до UDP не доходит, система разбирается сама, но не позже, чем получит весь пакет и проверит контрольные суммы. На Виндах размер задать можно, а вот flooding нет, а на Юнихах - с root правами пожалуйста. Хотя на 2000 и ХР с новыми сокетами, где есть возможность создания raw packets, написать такую программку раз плюнуть. А вообще-то идея не новоя. Мы активно обсуждали как разорить человека с сотовым телефоном - абсолютно так же.
=KRoN=>>>Там роутер - комп на FreeBSD.
Mishka>>А что они конкретно используют - bind или zebra или же еще что-то?
Bind - это у меня крыша уехала в связи с атакой на Интернет - там как раз это и атаковалось.
А Zebra - это opensource routing.=KRoN=>ХЗ, не интересовался. Только bind же - это DNS-сервер?
=KRoN=>В том-то и дело, что слова про "доминирующий траффик" появились у них только сегодня. Полагаю именно после этого происшествия - До этого было "исходящий - бесплатно".
А распечатки странички не сохранилось? А то закон обратного действия не имеет.
=KRoN=>Угу. И с провайдером пока ссориться неохота - альтернативы тут пока нет. Да и вообще, дело до суда может дойти.
Печально.
Mishka>>Насколько я знаю, он показывает количество прошедших байтов. Тогда вопрос провайдеру, как они учитывют служебую информацию? А не посчитали ли они и все пакеты после того, как сменили адрес?
Смотри выше.
=KRoN=>Да нет, 10Гб с лишним это набежало до смены адреса. После смены был только входящий и относительно небольшой (~сотня килобайт в секунду.)
А как они считали? Если по адресу, то надо смотреть как со временем.
Mishka>>Вопрос в том - а откуда они данные берут? Сами протокол анализируют или из того же ifconfig-a?
=KRoN=>Я сейчас запросил у них детализацию траффика. Представляю, что ЭТО за лог будет
Впрочем, их проблемы...И еще надо узнать откуда детализация взята - как статистику считали.
=KRoN=>Кстати, вирус как раз UDP-пакеты и генерит...
Ну, с UDP еще попроще - это все-таки в верхнем уровне. А вот ICMP совсем плохо.
Интереса ради у 'моего' провайдера себестоимость гига трафика у конечного пользователя составляет $20 примерно при большом объеме. Плюс сотня - аренда канала ADSL. Если я правильно понимаю, такая ситуация у всех провайдеров, плюс-минус. То есть они могут отдать тебе этот лишний трафик по $20 и не разориться.
Убей в себе зомби!
Copyright © Balancer 1997..2018
Создано 24.10.2002
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 24.10.2002
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
