The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Лишний трафик мимо Squid"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Лишний трафик мимо Squid"  +/
Сообщение от eaps email(ok) on 10-Авг-11, 17:44 
Добрый день.
Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. На проксе также стоит касперский антивирус.
Есть мысли, что это и куда копать?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Лишний трафик мимо Squid"  +/
Сообщение от Aquarius (ok) on 10-Авг-11, 17:52 
> Добрый день.
> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
> На проксе также стоит касперский антивирус.
> Есть мысли, что это и куда копать?

есть: в сторону более подробной информации

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Лишний трафик мимо Squid"  +/
Сообщение от rusadmin (ok) on 11-Авг-11, 06:26 
>> Добрый день.
>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
>> На проксе также стоит касперский антивирус.
>> Есть мысли, что это и куда копать?
> есть: в сторону более подробной информации

может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Лишний трафик мимо Squid"  +/
Сообщение от eaps email(ok) on 11-Авг-11, 11:09 
>>> Добрый день.
>>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
>>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
>>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
>>> На проксе также стоит касперский антивирус.
>>> Есть мысли, что это и куда копать?
>> есть: в сторону более подробной информации
> может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer?

Точно нет. С этим строго.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Лишний трафик мимо Squid"  +/
Сообщение от _HK_ on 11-Авг-11, 09:06 
inetnum:        92.122.0.0 - 92.123.255.255
netname:        EU-AKAMAI-20071113
descr:          Akamai Technologies

Akamai предоставляет ресурсы Microsoft, в частности для Windows Update.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Лишний трафик мимо Squid"  +/
Сообщение от Andrey Mitrofanov on 11-Авг-11, 10:15 
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.

Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...

Винды ночью обновляются? Каждую ночь %) заново и по полной.

Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то кто-то ходит ч-з NAT мимо сквида, очевидно...

Ну, tcpdump-ом ловить или netflow какой водрузить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Лишний трафик мимо Squid"  +/
Сообщение от eaps email(ok) on 11-Авг-11, 11:16 
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
> Винды ночью обновляются? Каждую ночь %) заново и по полной.
> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
> кто-то ходит ч-з NAT мимо сквида, очевидно...
> Ну, tcpdump-ом ловить или netflow какой водрузить.

В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да - прокся на себя что-то льет постоянно. Циска говорит то же самое, что прокся льет на себя. Может, что-то с кешированием? Отключали путем no_cache deny all - не помогает. Версия Squid 3.1.0.17

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Лишний трафик мимо Squid"  +/
Сообщение от Alexander Kapralov email on 29-Ноя-11, 18:36 
>[оверквотинг удален]
>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
>> Винды ночью обновляются? Каждую ночь %) заново и по полной.
>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
>> кто-то ходит ч-з NAT мимо сквида, очевидно...
>> Ну, tcpdump-ом ловить или netflow какой водрузить.
> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да
> - прокся на себя что-то льет постоянно. Циска говорит то же
> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали
> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17

Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, но которые блокируются вашим шлюзом (по какой-то причине). То, что вы не получаете трафик на squid не мешает прова

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Лишний трафик мимо Squid"  +/
Сообщение от Alexander Kapralov email on 29-Ноя-11, 18:37 
>[оверквотинг удален]
>>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
>>> Винды ночью обновляются? Каждую ночь %) заново и по полной.
>>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
>>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
>>> кто-то ходит ч-з NAT мимо сквида, очевидно...
>>> Ну, tcpdump-ом ловить или netflow какой водрузить.
>> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да
>> - прокся на себя что-то льет постоянно. Циска говорит то же
>> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали
>> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17

Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update,
но которые блокируются вашим шлюзом (по какой-то причине). То, что вы
не получаете трафик на squid не мешает провайдеру считать ваш трафик как входящий.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру