Hello, sergey!
14 января 2004 года (а было тогда 14:20)
sergey miassoedov в своем письме к Eugene Egorov писал:
EE>>>> PS: или ты считаешь, что кто-то сами дампы хранит?
sm>>> Hетфолоу - несколько часов?
EE>> не верится, но да!!!
EE>> для выцделенных каналов, ISDN, xDSL - статистика по IP хранится
EE>> месяца 1,5 (статистика по "IP с портами" - тоже несколько часов),
EE>> для того же, но через проксю (то есть для клиентов, у которых
EE>> фиксированный айпи), запросы на проксю -
EE>> может дней 7.
EE>> а что касается диалапа(с динамическими айпи), то несколько часов
EE>> если через проксю, если напрямую, то вообще не уверен, что хоть
EE>> что-то есть.
EE>> просто диалап идет по PPP, а не по ATM, так что ни о каком cach
EE>> flow на циске речи нет.
sm> Объясни, что мешает сказать на virtual template, group-async и проч.
sm> слова ip accounting output-packets? Потом раз в 1/5/10 минут ходить по
sm> крону rsh на кошку и говорить show ip accounting/clear ip accounting?
sm> Потом парсить этот аккаунинтг, gzip'овать его и раз в неделю писать на
sm> cd-r или dvd-r?
:)) что мешает? - объем!!!
возьмем средний вариант крупного диалап пула - 1000 модемов
считаем сколько получится трафик в секунду? в час? в день?
далее:
1) считаем сколько будет занимать объем и нафиг это все нужно, если обращений
за диалап трафиком не бывает.
2) а в реальном времени для такого объема трафика все, что написано выше
сделать реально? че-то я не уверен...
sm>>> А если через месяц придет пользователь с просьбой типа "а чё эта
sm>>> у меня тут за цифры? куда это я ходил?" -
EE>> диалапщик не придет, так как в питере нет диалапа с трафиком
EE>> платным(ни у кого),
sm> Есть. Этот вопрос регулярно всплывает в spb.internet.provider.
эээ...
1) пров крупный?
2) долгожитель или однодневка с 30 модемными пулами при каком-ниудь
университете?
3) кто?
4) то, что можно узнать объем трафика, потребленного тобой на диалапе - это у
всех обычно есть, но берет ли кто-нибудь деньги по трафику, а не по времени?
EE>> а выделенщики если и просят, то без прокси - за месяц легко, ну а
EE>> после того, как ты оплатил трафик, нефиг и выпендриваться.
sm> Закон о защите прав потребителей отменили, да?
:))) нет, но в случае чего - "read contract"
там все оговорено.
к тому же, все, что до 1,5 месяцев - споры всплывают регулярно, но все, что
чаще - большая редкость... такая редкость, что можно с честными глазами
заявить, что за такой период трафик не хранится.
EE>> а что касается прокси, то всегда зарание предупреждают, что очень
EE>> недолго хранится, так что в случае чего - суетитесь быстрее.
sm> Здесь правильным будет вопрос - а где целесообразно считать трафик?
sm> Ответ будет - на самом ближнем к клиенту роутере. В этом случае проксю
sm> достаточно вынести хотя бы в другой сегмент сети, и клиентский трафик
sm> (в т.ч. и проксированный) будет отражен в accouning/netflow.
так и есть. в netflow просто написан IP'шник прокси, объем запроса и дата, и
ессно, его приходится учитывать в общем трафике для клиента.
но речь идет о том, что кроме этог IP ничего понять нельзя, куда был запрос,
зачем итд итп.
PS: и вновь читаем начало треда, речь была не об учете трафика, это мы уже
зачем-то перекатились непонятно в какое русло, да еще и на выделенщиков
перешли.
а изначально говорилось о том, как через проксю замести кледы диалапа.
sm>>> придется от фонаря писать или убеждать, что биллинг - сама
sm>>> точность?
EE>> нет, зачем врать, честно говорят, что за такое время статистики
EE>> уже нет. а что касается точности, то биллинг трафик не считает,
EE>> он считает деньги, по данным полученнымс сервера с трафиком.
sm> /me пошел на один биллинг. Билл-мастер от inline, умеет диал-ап и
sm> ip-телефонию.
sm> Общая стоимость (у.е.) Трафик к клиенту (байт) Трафик от клиента
sm> (байт) 0.72001 804300 265080
это да, цифры - есть, они тупо подсчитываются на циске и записывается в лог их
количество, но куда были запросы - не узнаешь.
EE>> а тому все равно, что за клиент. он тупо считает запросы по
EE>> каждому адресу, ну а биллингу просто говоришь, за трафик с какого
EE>> адреса брать деньги. ошибок в подсчете не бывает, бывают чисто
EE>> человеческие ошибки, типа того, что считаешь одному клиенту чужой
EE>> трафик, но после его обращения за разъяснениями, это очень легко
EE>> обнаруживается и еще легче сумма пересчитывается в биллинге. так
EE>> что все решаемо.
sm> См. пример выше.
не совсем понял, ты о каком примере?
PS: опять же, для диалапа или выделенки? я про второе говорил, так как первое
обычно с динамическим IP и проверить, была ли ошибка - я думаю, не удастся.
sm>>> Кстати, ты в курсе, что "халявные" прокси - это в большинстве
sm>>> своем прохаченые/протрояненые машины?
EE>> в курсе, еще как в курсе. раз в неделю, как минимум с таким
EE>> геммороем встречаюсь, и пойди попробуй объясни cool-админу, за
EE>> что у него трафик набежал, или за что ему порты на циске
EE>> рубанули...
sm> Вот это-то довольно легко объяснить. Примерно раз в неделю и
sm> приходится этим заниматься.
:)))) 95% - легко удается, просто показываешь распечатку и он идет бить морду
своим, кто такой трафик нагнал(либо рвать волосы себе, если опен-релэй не
закрыл). но каждый 20ый попадется такой, что хоть вешайся. а уж права качать
все клиенты умеют, пока не ткнешь в конкретный пункт в договоре ))
sm>>> И что подобные действия (влом, засылка вируса, etc) уголовно
sm>>> наказуемы во многих странах?
EE>> взлом? вирусы? зачем, я ничего засылать не соираюсь.
EE>> я просто возьму списочек из пары тысяч действующих халявных
EE>> проксей (их использование еще пока не запрещено) и сделаю свое
EE>> черное дело через них, речь вроде шла именно об этом.
sm> Статья 272. Hеправомерный доступ к компьютерной информации
ну-ну, вот, к примеру, я вчера допустим пользовался халявной проксей.
ну и в чем здесь неправомерность? к ЕГО инфе я и ен притрагивался, я просто
через него брал другую, законную инфу. но скрыл следы.
sm> Статья 274. Hарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
а где эти правила расписаны? что можно и что нельзя? халявные прокси уже
запретили?
EE>> PPS: а наказуемы - это еще не значит ДОказуемы. когда ты слышал
EE>> про последнего человека, севшего у нас за посылку вируса,
EE>> сканирование, взлом сервака? а не в россии? наверно митник :)))
sm> Почитай новостные ленты. За последние полгода я помню в России где-то
sm> 3-4 случая. Hе в России - около десятка.
ууу... а во теперь подумай, каким надо ыть ламером, чтобы быть одному из
четырех человек, которые среди тысяч!!!(а может десятков тысяч или сотен)
попались... либо что ИМЕHHО и как неосторожно надо натворить, чтобы тебя
все-таки поймали. в обычных условиях, я считаю это практически не возможным.
sm> http://www.yandex.ru/yandsearch?rpt=rad&text=%F5%E0%EA%E5%F0+%E0%F0%E5
sm> %F1%F2
ну и? почитал самую первую ссылку, уже там идет речь о том, что сам взломщик
сделал ну просто ВСЕ, чтобы было понятно кто он. (какое-то там резюме оставил
итд итп)
дальше читать лень, остальное либо в том же духе, либо обычные неграммотные
журналистские утки.
EE>>>>>> но КТО сказал, что после всего этого, у большинства
EE>>>>>> провайдеров есть АОHы на пулах? PS: я уж не говорю обо всем
EE>>>>>> остальном...
sm>>>>> Видите ли, в цифровой телефонии нет отдельного устройства
sm>>>>> "АОH". Hомер прекрасно передается по d-channel в ISDN PRI.
EE>>>> согласен, но про "АОH у провайдера" я сказал, подразумевая:
EE>>>> "чтобы телефон писался в логах на каждого юзверя". а так, пойди
EE>>>> сопоставь по времени логи такакса (в которых от силы ты найдешь
EE>>>> правильный асинк на циске, при том, что к этой циске подведено
EE>>>> штук 20 PRI'ев), с реестром звонков на модемный пул. не думаю,
EE>>>> что в логах АТС (или как там это у них называется), ты найдешь,
EE>>>> на какой именно из D-channel и в каком тракте был
EE>>>> смаршрутизирован звонок, и сможешь сопоставить на какой асинк
EE>>>> попал (асинки почти от балды выбираются на циске, как
EE>>>> заполняются пиэраи - не знаю, но даже если вподряд - сопоставиь
EE>>>> не свтит). и не забудь, что если пытаться сопоставить еще и
EE>>>> точное время, то на серваке с такаксом +-4 минуты - нормальное
EE>>>> явление.
sm>>> Ай-ай. Мсье явно не умеет строить сети... Какие проблемы
sm>>> сопоставить
sm>>> IP-адрес определившемуся номеру телефона?
EE>> а Мсье явно не умеет читать. причем тут сети? я же написал, что
EE>> главная проблема не в том, что номер телефона по d-channel не
EE>> может передаваться - может. я просто сказал, что этот номер
EE>> зачастую (у большей части провов) не пишеться в такаксе, где есть
EE>> айпишник. на какой стадии номер теряется(до пиэрай тракта, то
EE>> есть на АТС или после, то есть в циске), я не знаю, но если до
EE>> конца он не дошел (не попал в лог), то дальше - хрен сопоставишь.
sm> Так я о том и говорю - если настроить тривиальные вещи не судьба, это,
sm> наверное, к хирургу.
[комментарий ушел мылом]
EE>> PS: если я не прав, может объяснишь мне, как при наличии в руках
EE>> HЕточного времени выдачи айпишника (ладно, этим пренебрежем) и
EE>> наличии номера асинка на нужной циске вычислить (пусть, даже, при
EE>> участии АТС) номер телефона?
sm> Для начала сделаем время точным:
sm> # crontab -e
sm> 20 * * * * /usr/sbin/ntpdate access_server
sm> Далее, поднимем радиус и станем смотреть в его логи. В крайнем случае
sm> - debus isdn q931/q921.
про это я уже ответил кому-то в другом письме, что все прекрасно знают, как
настроить синхру времени.
но почему-то этого намеряно не делают. почему - уже сказал, что не знаю, только
догадки.
EE>> (просто я не телефонист, и мне самому интересно узнать, что же и
EE>> как происходит на стороне атс, при поступлении звонка на наш пул
EE>> и какие логи ведутся там)
sm> Hикогда этим не интересовался. Здесь есть люди, которые более плотно
sm> работали со станциями.
во-во. но пока никто из здесь присутствующих не ответил. надо подключать людей
из spb.anti.ats :)))
WBR, Eugene 14 января 2004 года