ДСИ выставила счет за один месяц, где по одному из наших айпи был примерно 7ми месячный входящий трафик измеряемый многими Гб. ДСИ предложили сделать детализацию и разобраться...Дело в том что там и злоупотреблять некому и времени нет на это. Кто с подобным сталкивался и где искать причину? думаю что детализация не спасет, какая разница, порнуху качали несколько ночей или МР3...Как доказать что не наших рук дело? Ну или, все таки предположим, что наш сотрудник качнул лиха, как это доказать?

на вирусы с особой тщательностью проверьтесь, если зомби рассылал спам, то он мог это делать в поистине производственных масштабах и достаточно бессистемно по времени.

посмотрите почасовую детализацию трафика.

coinman [212783]: Это все на бесплатных ящиках что ли? А такие случаи могут быть форсмажором?

R-EX [212781]: Проверьте заодно исходящий траффик! Если также сильно превышен, то м.б. вы невольная часть ботнета.
Если же человеческий фактор, а доступ в интерент из локалки был неконтролируемый, то виноватого вы не найдете.
А платить походу в любом случае придется.

p.s. наверно стоит задуматься об установке шлюза в интернет.

Подробности давай. Че за фирма, профиль, сколько народа, какой возраст. Надо смотреть по компам, причем, желательно, в выхи, никого из сотрудников не допуская на рабочие места.

Zef [212800]: кстати да, вариант!

R-EX [212781]: Володя, реально надо больше инфы. Я так понимаю никакого учетных программ трафика в фирме не стоит? Очень желательно поставить, чтобы таких вопросов не возникало ... Пару раз такое случалось на фирме, смотрел по логам и не выдавали часть зарплаты работнику, который виноват.

R-EX [212781]: Как доказать что не наших рук дело?
IMHO, никак. У провайдера есть данные биллинга, а у Вас только голословные утверждения, если нет логов. Да и потом, вполне же возможно, что кто-то из сотрудников злоупотребил трафиком. Выход, по-моему, только один - ставить на шлюз ПО, раздающее интернет в локалку (прокси/NAT) с ведением журнала обращений, а еще лучше - каждому сотруднику выдавать лимит на месяц (т.е. у каждого сотрудника свой логин/пароль для доступа в интернет), тогда таких проблем не возникнет в дальнейшем.

R-EX [212785]: Сотрудника вычислить можно, начните с получения детализации. Как узнаете контент - найти можно.

Belomor [212819]: +1 squid с NAtом спасут отца русской демократии. Машинка нужна не особо мощная, лишь бы было место под проксевый кэш.

R-EX [212781]: Что значит - один из наших айпи? Вообще, как сеть организована?

у нас все это было, пока ребята не лимитировали трафик на каждого через проксю. Прегнули, правда, в своей политике немного, но тем не менее, интересы организации соблюли.

andrkoss [212824]: Два разных помещения, контроля не было, как и не было злоупотреблений много лет. а тут резкий почти семикратный всплеск входящего трафика. Обидно будет если провайдер скажет-а нам ПОХ. После праздников будет детализация и я напишу что там. Они кстати сами говорили что возможен спам.

R-EX [212836]: Месяц назад была такая же тема с ДСИ у знакомого на фирме. Пытался разобраться в ДСИ, но детализация, которую они предоставляют, почти ни чего не отображает. Внутри конторы тоже гарантировано ни кто не ходил. Он пожаловался в отдел "К" - приехали ребята, изъяли системники. Результат могу узнать не раньше понедельника :)

R-EX [212836]: Они кстати сами говорили что возможен спам
Рассылка спама = исходящий трафик, который не тарифицируется (как правило). Есть ли посуточная детализация? Т.е. разово было потреблено много трафика или постоянно идет? Если постоянно - то можно хоть анализатором трафика посмотреть, что происходит - вдруг там с торрентов качается что-нибудь и т.п. А вообще, проще пригласить специалиста для диагностики и настройки. Кто знает, может, у Вас, к примеру, Wi-Fi криво настроен в локалке и соседи этим пользуются :)

Belomor [212902]: Рассылка спама = исходящий трафик - это не совсем так. Точнее будет сказать "исходящий больше входящего", но входящий есть в любом случае и он не такой уж и незаметный.

R-EX [212836]: Обидно будет если провайдер скажет-а нам ПОХ - он скажет, извините, но вы должны оплатить предоставленную услугу. Тут на самом деле сложно что-либо другое придумать, а магистральный трафик провайдеру тоже не бесплатно предоставляется.

У тебя же там брался какой-то товарищ наладить межсетевое взаимодействие?
Правильно настроить проксю для выхода в инет совсем не так сложно, а всякие трояны отсекаются на корню.

Володя, 99% придется платить, не важно что и кто качал. Биллинг есть - есть ...

А может безлимит на будущее?
У нас тоже только что была подобная ситуация - админ :) накачал на 40000 в месяц :(, дурень. Впухли все.

Платить придется, провайдер почти всегда выигрывает, если дело до суда доходит. Единственный вариант доказать что у ДСИ был сбой: изучить лог и найти то место, где предоставленный трафик был больше ширины канала, т.е. за это время физически скачать столько было нельзя. Если такого нет то никому нет дела, был это бот, или пьяный админ.

Попросите у провайдера преобладающий входящий трафик по портам . Если smtp - ловите вируса, если http или ftp - сотрудника. Так же можно попросить показать исходящий трафик. Если сопоставим со входящим - скорее всего работает спам-бот. По опыту - сотрудник vs вирус 1:10

Владимир, детализацию можно смотреть через "личный кабинет" https://www.dsi.ru/stat/webexecuter

to Anikin, Паша, думаешь изымать системники из работы для проверки, особенно через отдел "К" это удачное решение? тут самому надо быть чистым на 100%, а то в логах много интересного можно найти...

на таких вещах, в наши времена, попадаются откровенные л... "дураки", ну по-другому не скажешь.

Вероятность просчётов провайдера близка к нулю - скорее всего "руки" ваши.

Сейчас для вас должны быть единственная цель - это не получить те же порядки значений завтра. С предыдущем разбирайтесь по ходу, имхо. Доказать или найти причину можно через информацию имеющуюся у провайдера, если у вас нет таковой.

Определить как долго это происходит, можно банально поделить полученный объём(за вычетом обычного среднего объёма трафика) за период на скорость канала.