proNovell

Добрый день!
За канал ADSL наше предприятие платит по трафику, поэтому проблема учета и контроля всегда стоит очень остро. Считаем сами статистику по логам Border Manager, сверяем со статистикой у провайдера. Почти всегда все было более-менее ok, а тут вот столкнулись с весьма нехорошей ситуацией. За пару дней в августе статистика у провайдера вдвое превосходила нашу, полученную с BM (у нас - ~400MB, у них - ~800MB). Запросили у них расширенную статистику за эти дни типа с какого IP на какой ходили. Естественно, у нас NAT, поэтому все идет от адреса BM, но вычислили, к какому сайту относится неучтенная BM информация. Стали опять смотреть логи BM, и получается, что на этот сайт (кстати, производственной тематики www.snecma.com) явно никто не заходил, но заходили на другой сайт, откуда брался (операция "GET") некий java script (файл .js), а потом запускался snecma.css файл, и так много раз за день. В статистике же провайдера явно присутствует IP-адрес www.snecma.com по 80 порту. Привожу строки из лога Border'a:
172.17.7.17- .ivanova.100.adv [09/Aug/2004:13:15:23 +0600] "GET http://www.turbomeca.com/public/en/nav/nav.js HTTP/1.0" 200 4861
172.17.7.17 - .ivanova.100.adv [09/Aug/2004:13:15:23 +0600] "GET http://www.turbomeca.com/public/en/nav/snecma.css HTTP/1.0" 200 8345

Вопрос: можно ли запустить какой-нибудь скрипт, а потом он перенаправит на другой сайт, запустится перекачка, а в лог ничего не запишется? Причем пользователь тут ни при чем, т.к. тематика сайта производственная, да и человек такой, что много не выдумает. Как бы обойти эту ситуацию?

А может пойти по более простому пути , отключить в IE выполнение Java Script и включить самый высокий уровень безопасности интернета
Кстати я так именно и защищаюсь в некотрых ситуациях от перенаправлений с открытием новых окон.

также BM отдельно считает страффик через socks 5 и т.п., пожет вы не везде посмотрели?

Anton писал(а):также BM отдельно считает страффик через socks 5 и т.п., пожет вы не везде посмотрели?

У меня открыт только HTTP- и FTP-прокси, по ним и идут логи.

1. Тут на форуме пробегала NLM-ка, что ведет подсчет ТРАФФИКА НА ИНТЕРФЕЙСЕ.
Возможно, что имеет смысл использовать и ее для ежедневного (ежечасного) контроля.

2. Мнение по событию
Если исходить из того, что:
От Вас НИКТО из пользователей не ходит через NAT в инет, а только обращаются к следующим прокси:
HTTP
FTP
(я так понял, что Ваш Прокси пробрасывает свои запросы к Прокси Провайдера)
И НИКАК ЭТО В АШИХ ЛОГАХ НЕТ (неужели нет первого захода с какой-то станции туда)
То смею предположить - возможно напоролись на некий глюк в BM (сам в себе зациклился)

Если Ваш Прокси действительно пробрасывает свои запросы к проксе провайдера, то - откажитес от этого и У ВАШЕЙ фирмы уменьшится траффик .

Хвораем этой же болезнью Если интересно, полистайте форум..

1. Тут на форуме пробегала NLM-ка, что ведет подсчет ТРАФФИКА НА ИНТЕРФЕЙСЕ.
Возможно, что имеет смысл использовать и ее для ежедневного (ежечасного) контроля.

WANSTAT дает правильную статистику Но ситуацию это не меняет, т.к. прокси может отчитаться только за 70% трафика

Если исходить из того, что:
От Вас НИКТО из пользователей не ходит через NAT в инет, а только обращаются к следующим прокси:

NAT в другой сети. Маршрутизация выключена.

(я так понял, что Ваш Прокси пробрасывает свои запросы к Прокси Провайдера)

Поигрался Выключил Верно, трафик меньше. Но 100% паритета не наблюдается
А вот теперь такая гипотеза
В локальной конференции я натолкулся на мысль, что появился софт, использующий для передачи данных пакеты DNS... Ваше мнение, кабальерос?!

Мещеряков Андрей писал(а):1. Тут на форуме пробегала NLM-ка, что ведет подсчет ТРАФФИКА НА ИНТЕРФЕЙСЕ.
Возможно, что имеет смысл использовать и ее для ежедневного (ежечасного) контроля.

WANSTAT дает правильную статистику Но ситуацию это не меняет, т.к. прокси может отчитаться только за 70% трафика
В локальной конференции я натолкулся на мысль, что появился софт, использующий для передачи данных пакеты DNS... Ваше мнение, кабальерос?!

Может NLM и считает траффик на интерфейсе, но провайдер считает трафик на интерфейсе cisco - а туда включается весь траффик, в том числе и служебный cisc-и.
А по поводу DNS ваша мысль верна, особенно если у вас свой DNS и хреново настроен + если ваш DNS еще и является мастером для внешнего домена и вы не ограничили доступ к нему, то реальная ситуация до 20Мб в час только за счет трансфера зоны.

Мещеряков Андрей писал(а):В локальной конференции я натолкулся на мысль, что появился софт, использующий для передачи данных пакеты DNS... Ваше мнение, кабальерос?!

Запросто. Тот же CONNECT доставлял проблемы разным проксям.

PavelKHTW писал(а): А по поводу DNS ваша мысль верна, особенно если у вас свой DNS и хреново настроен + если ваш DNS еще и является мастером для внешнего домена и вы не ограничили доступ к нему, то реальная ситуация до 20Мб в час только за счет трансфера зоны.

Спасибо !
1. Свего DNS нет, только думаем создать локальный домен, трансляция которого, есно, невозможна. Пока проксируем провайдерский.
2. Можно подробнее про хреновую настройку?
3. А червяков, что используют DNS в своих целях - нет ?

Попробуйте поработать Месяц без использования пркоси провайдера.
Статистика по интерфейсу у Вас и упровайдера всеравно будет различаться, но не так кошмарно.
Подобная трабла все-же, на мой взгляд, из-за взаимодействия Прокси Вашей и Провайдера..