Все кул, ниче не задолбало. Атаки если и есть - дофени все руками настроено. Счас ешо анлиму понюхаю - если норм будет лучше провайдера тогды не сушествет в Качканаре:)

Mpak#1: Та же песня... Все закрыто-заблокировано-защищено, об атаках я узнаю из логов файрвола и живу как в сказке. Кстати, с какого перепою вы решили, что это именно DOS атаки? У меня вот до сих пор ничего, кроме безобидного сканирования не ловилось...

Блин... Хотел выбрать время и спокойно, развернуто написать о паразитном трафике. Теперь придется писать впопыхах.

Итак, паразитным трафиком называется входящий трафик, который клиент не запрашивал и не ждет. О том, откуда он берется, чуть познее, а сейчас рассмотрим особенности технологий доступа в интернет.

Особенностью доступа в интернет от УСИ (что ADSL, что диалап) является предоставление хоть и динамического, но белого IP. Т.е., расшифровывая для непосвященных: во время работы в интернете, Ваш компьютер является полноправным членом этой мировой сети. Весь трафик, отправленный в Вашу сторону, приходит к Вам, даже если Вы его не запрашивали. И, не смотря на то, что правильно настроенный компьютер не пропустит в себя "левые" пакеты, паразитный трафик все равно к Вам уже пришел и сосчитался у провайдера. Определить, запрошен ли Вами трафик или он паразитный, при данной технологии невозможно.

Для сравнения приведу в пример Итерру: у них большинство клиентов имеют серые IP, т.е. доступные только внутри самой Интерры. Выход в интернет для них всех идет через один белый IP - с точки зрения мировой сети, это получается один, но жадный до трафика клиент. Маршрутизатор с белым IP, стоящий у провайдера, перенаправляет трафик с "серых" клиентов внутренней сети на "белые" адреса серверов интернета. И запоминает, от кого куда ушел запрос. Когда приходит ответ, маршрутизатор перенаправляет его серому клиенту. Для паразитного трафика у маршрутизатора нет запомненного пути и этот трафик не проходит в внутреннюю сеть. Однако, хочу сразу отметить, что сам провайдер оплачивает этот трафик.

Теперь о том, откуда берется этот паразитный трафик:

• Вирусы, точнее - сетевые черви. В данном случае не на Вашем компьютере, а на других, подключенных в интернет. Черви постоянно сканируют сеть в поисках незащищенных компьютеров. Сканирование представляет из себя отправку небольшого пакета на все адреса по очереди и ожидание от них ответа. Если компьютер защищен, ответа не следует, если нет - начинается процедура заражения и потом уже этот компьютер становится создателем паразитного трафика для кого-то. Кстати, компьютер, зараженный червем, создает большой исходящий трафик и получает дополнительный входящий - ответы на его вирусные запросы.
  Обычно, на защищенном компьютере такого трафика накручивается не много, но зато постоянно, пока есть подключение к сети.
• Пресловутая DoS атака. Это уже целенаправленная отправка траффика в Вашу сторону при помощи хакерской сети зомби-машин. Т.е. по чьей-то команде, несколько десятков зараженных компьютеров начинают отправлять кучу пакетов на определенный белый IP. Тем самым загружая канал и накручивая жертве входящий трафик. Однако, прежде чем поднимать панику, что Вас "хакеры заломали", подумайте о том, а на кой черт Вы им, хакерам, сдались? Создание и поддержание зомби-сети - дело сложное. Антивирусные компании сложа руки не сидят и достаточно быстро обновляют базы. Поэтому хакеру нужно постоянно перерабатвать своего вируса-червя, что бы иметь возможность кого-то ломать. Для этого нужно иметь очень высокую квалификацию. Как следствие, нынешние хакеры редко развлекаются просто взломом. Они выполняют чьи-то заказы. Оплаченные заказы. Подумайте - есть кто-то, готовый выложить несколько тысяч рублей за то, что бы сделать Вам гадость? И еще раз замечу, DoS атака, это - очень большой входящий трафик. Не лишние мег-два за час, а столько, сколько вообще Ваш канал может пропустить.
• Хакерята. Это не хакеры, это подростки, возомнившие себя хакерами. У них есть некоторое, зачастую очень поверхностное представление о работе сети и набор "хакерских" программ. Как правило, дело ограничивается сканированием сети, т.е., опять же, отправкой пакетов на все адреса "на удачу" и ожидание ответов от незащищенных компьютеров. Однако, небольшой трафик они тоже создают.
• И, наконец, скажем так, "условно-паразитный" трафик. Условно, потому что, формально этот трафик действительно запрашивает Ваш компьютер. Это - авто-обновление системы и программ. В Windows-XP встроен механизм авто-обновления, которые по-умолчанию включен. Как только Вы подключаетесь к интернету, этот механизм начинает выкачивать с сайта Microsoft, новые версии системных библиотек и программ. Обычно, для клиента это выливается в 200-300 мегабайт скачанных при первых подключениях. Потом, когда система уже привела себя в актуальное состояние, обновления жрут уже куда меньше трафика. Так же существуют программы, которые любят само-обновлятся. Некоторые из них спрашивают разрешения, некторые обновляются без спроса.

Именно на последний пункт клиенты чаще всего и "налетают". Благодарности можно отправлять в компанию Microsoft.

Из рекомендаций:

• Отключите авто-обновление.
• Отключайтесь от интернета, на то время, когда им не пользуетесь.
• Если Вам нужно постоянно быть в интернете, лучший тариф - безлимитный. Даже если Вас действительно целенаправленно завалят трафиком, Вы все равно заплатите только абонентскую плату и ни рубля больше.
• Поставьте программу учета трафика и регулярно проверяйте, как он расходуется. Например, бесплатный "NetLimiter 2 Monitor".

Башуров В.В.#3: Очень интересное объяснение.

Спасибо Володя.

А сколько реально может накрутиться паразитного трафика при постоянном подключении. С полностью закрытими входными портами (NAT, WinRouter)?

У кого какая исть информация.

В Интере мы тоже посчитали паразитный трафик (пингование адресов и портов)и можем сказать что он не превышает 10-100 кБ в день с чем можно вполне смириться.

DoS аттак вообще пока не было. :)

ну если у меня и бдет паразитного трафика 1 мег в месяц - тож както до фени:)

Зеленин В.С.#4: Накрутится может реально много. По максимуму - считай пропускную способность входящего канала и множь на время. Причем совершенно не важно, закрыты ли у тебя порты - если трафик рубится на твоем компе, значит через счетчик провайдера он уже прошел.

В Тюмени был судебный процесс как раз с УСИ по поводу огромного паразитного трафика - у клиента стоял сервак и ТП с оплатой за трафик. Несколько месяцев было все нормально и вдруг грянуло! Клиент суд проиграл, ибо, как я уже писал, доказать, что это именно паразитный трафик черезвычайно сложно. В итоге клиент выплатил нужную сумму и перешел на безлимит, посколько все остальное в УСИ его, судя по всему, устраивало. Информация эта не ДСП - я сам ее из интернета подчерпнул.

Господа! Продолжение темы. В результате многочисленных проб и ошибок выяснилось - сеть Utel вероятно по уши в проблемах... http://www.kaspersky.ru/news.html?id=1193624

Причем с Авастом этот конфликт выглядит нагляднее - больше 30 минут работать в инете не дает... Это, конечно, не та тема, что-бы в панике искать Helkern у себя, но заставляет задуматься. К примеру - в Интерре такой заразы нет. Приведу пример:

18.12.2006 14:02:05 Ваш компьютер был атакован с адреса 212.220.119.144. Используемая атака - Lovesan. Атака была успешно отражена.

18.12.2006 14:04:03 Ваш компьютер был атакован с адреса dialA95.etel.ru. Используемая атака - Lovesan. Атака была успешно отражена.

18.12.2006 14:04:34 Ваш компьютер был атакован с адреса pppoe-0259.urtc.ru. Используемая атака - Lovesan. Атака была успешно отражена.

18.12.2006 14:09:50 Ваш компьютер был атакован с адреса 212.220.209.237. Используемая атака - Lovesan. Атака была успешно отражена.

18.12.2006 14:45:37 Ваш компьютер был атакован с адреса 61.166.10.109. Используемая атака - Helkern. Атака была успешно отражена.

...Еще 3-5 минут и компьютер передергивает, сеть и многие проги полностью вышибает до перезагрузки... Потом все сначала... Конечно, есть другие антивиры и способы защиты, которые я кстати подобрал, но проблема остается...

SKP#7: Ну ё-моё... Вы мой комментарий внимательно читали?

Возьмите в Интерре белый нефильтрованный IP и получите ту же картину. Включите PPPoE и NAT (тот самый нат, который интерровских пользователей в инет пускает) на модеме, т.е. поставьте его в режим транслирующего рутера, и Аваст успокоится. Правда трафик все равно будет считаться, поскольку нат будет у Вас, а не у провайдера.

Это проблема не УСИ, это проблема интернета в целом. УСИ просто предоставляет полноценный, без ограничений доступ в инет.

Выше я, насколько мог популярно, объяснил причины. Чтобы понимать более четко - нужно подробно изучать работу протокола TCP/IP и принципы распространения сетевых червей, вирусов и т.д.

PS: Для тех, кто действительно имеет белый IP в Интерре и не видит такого количества атак, еще раз подчеркну - нужен нефильтрованный адрес. Потому, что Интерра блокирует большинство портов на своём входе. Например, сервер kachkanar.ru находится именно в Интерре и я не имею к нему доступа по SSH снаружи - только изнутри сети. А что бы получить снаружи доступ по FTP мне пришлось просить об этом администратора интерровской сети.

По сути, в Интерре используется политика "все закрыть, кроме... (подбирается индивидуально)". А в УСИ, как я уже написал выше, политика "полный доступ".

Башуров В.В.#9: Спасибо за комментарий. Просто хочу подобрать оптимальную защиту своим клиентам, подключающимся на ADSL. Чтобы без лишних вопросов и не мотало нервы...

Господи, ставьте себе стенки (не забывая настроить!) и ни один вирус вас не заразит, большинство ДОСов тоже мимо вас пройдет.. А по поводу паразитного траффика, его действительно, никак не остановить и никак не определить что он паразитный, так что с ним остается только смириться...

SKP#7: Да, кстати, вот простым клиентам насчет Helkern беспокоится точно не надо - он заражает только Microsoft SQL Server. Думаю, что на редком домашнем компе есть этот монстр баз данных. :)

И еще: если комп с установленным брандмауером все равно глючит и "через 30 минут отрубается" - это проблема с системой, а не с инетом.

Fulcrum#11: Главная дыра компа, в большинстве случаев - его пользователь.

Сколько раз натыкался, что брандмауер отключен потому, что "знакомый сказал, что из-за него интернет не работает".

Cколько им не объясняй, что никаких файлов из емэйла запускать не надо, даже пришедших от лучших друзей, а все равно "ну я же просто открыточку посмотрел".

А троянцы, садящиеся через IE с порно-сайтов, тоже самообразуются, поскольку "на такую гадость не ходил, да и годы мои уже не те...".

У меня на домашних компах стоит исключительно встроенный в XP-SP2 брандмауер. Даже антивируса нет, хотя запросто могу лицензионного казенного Касперского поставить. Элементарные правила соблюдаем с женой и нет проблем. Вот доча подрастет - наверное начнутся. Придется выделять ей отделный комп, а себе ставить сложные пароли... :)