Имею следующую схему:
Провайдер <-> CISCO 2611MX <-> Linux (2.4.27) <-> Локальная сеть.
Канал от провайдера 1Mbps.
Как легко посчитать, максимальный объём который можно протолкнуть через такой канал - 450 Мбайт/час.
Периодически мой сервер флудят из внешней сети (не сети провайдера).
Канал оказывается загруженным на 90-95% и продолжаться такой флуд может до нескольких часов. Выключение сервера проблемы не решает. Настройка TARPIT тоже мало чем помогает. И проблема не в том, что сервер DoS, а в том, что закачивается лишний трафик (переходить на анлим - не предлагать. Это мне не по карману).
Позиция провайдера в этом вопросе однозначная - "Это ваши проблемы и я ничего блокировать не собираюсь." При этом счета выставляются на 1000-1500 Мб/час.
Как правило, флуд идёт с нескольких адресов одновременно. Обращаться к владельцу адресов - бесполезно. Последний раз атака была с модемного пула в Амстердаме (если адреса не подменены). Письма отправляемые владельцу этого пула уходили как-будто в /dev/null.
Я не спрашиваю, как "нажать" на провайдера.
1. Подскажите, неужели никак нельзя технически бороться с флудом?
2. Есть подозрение, что этот трафик генерирует сам провайдер. Могу ли я доказать это или можно готовить ликвидационный баланс предприятия? Потому как с таким трафиком я очень скоро вылечу в трубу.

• Как защититься от флуда?,Moralez, 13:51 , 19-Сен-05
  • Как защититься от флуда?,redmoon, 14:04 , 19-Сен-05
    • Как защититься от флуда?,harlan, 15:00 , 19-Сен-05
  • Как защититься от флуда?,harlan, 14:56 , 19-Сен-05
    • Как защититься от флуда?,uldus, 22:26 , 22-Сен-05
      • Как защититься от флуда?,harlan, 12:54 , 23-Сен-05
        • Как защититься от флуда?,uldus, 13:11 , 23-Сен-05
• Как защититься от флуда?,lapweed, 17:14 , 20-Сен-05
• Как защититься от флуда?,мелкая пакость, 11:23 , 23-Сен-05

Поменять провайдера.

Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы кому-то насолили. Например админа уволили, не заплатив итд.
Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова нет ничего, то......

>Поменять провайдера.
>
>Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы
>кому-то насолили. Например админа уволили, не заплатив итд.
>Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если
>трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова
>нет ничего, то......

как работник пова говорю, провайдер ничего фильтровать не будет.
А вот обратиться с просьбой к провайдеру типа "про дампите мой траф, и вообще по пристальнее последите за мной недельку" - можно и нужно.

>>Поменять провайдера.
>>
>>Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы
>>кому-то насолили. Например админа уволили, не заплатив итд.
>>Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если
>>трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова
>>нет ничего, то......

Я обратился с такой просьбой. Они уже 10 дней "строят выборку" за один час флужения. Извините, за это время можно и подтасовать данные.

>Поменять провайдера.
>
>Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы
>кому-то насолили. Например админа уволили, не заплатив итд.
>Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если
>трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова
>нет ничего, то......

Я работаю админом в этой конторе с момента основания, а единственные, кому мы насолили это наш вышестоящий провайдер. Так как это - телеком, а мы предлагали услугу IP-телефонии.
Поменять провайдера не представляется возможным, так как:
1. По условиям нашей лицензии мы имеем право пользоваться каналами только национального оператора, т.е. телекома.
2. Других провайдеров в нашем городе просто нет.

В этом и был вопрос: Как доказать, что трафик фэйковый.
Милиция сама обращается ко мне (и к спецам из телекома) как к экспертам, так как своих спецов у них нет.
Телеком говорит, что логи "кто-откуда-сколько" не хранит (слишком большие объёмы), а хранит только "кто-сколько". Аппелирует к тому, что их биллинг сертифицированный, однако объяснить, как по мегабитному каналу за час можно пропустить полтора (а то и два) гига информации - не хочет (и, скорее всего, не может)

То что это делает ваш провейдер маловероятно, скорее всего неугодили кому-то (может конкуренты), он заплатил 100$ пионеру и тот теперь флудит с затрояненных машин. Отследить и поймать практически нереально. Остается добиваться судебным путем, нетарификации моментов флуда. С телекомами иначе никак, без решения суда динамить будут без конца. Про опломбирование проводов вам правильно посоветовали, закон на вашей стороне, только найдите хорошего юриста. Доказывать что-то придется телекому, а у него, сами говорите,  логов нет и трафик считается больше чем физически возможно прокачать.

Насколько мне известно, опломбирование проводов проблемы не решит:
1. Мне нужен интернет для работы, а опломбировать его нужно на длительное время.
2. Телеком использует для снятия статистики NetFlow. Таким образом, если пакет пришел на провайдера, то он посчитается и плевать хотел провайдер, на то, что отправить его некуда.
3. Пломбировать провода хорошо, когда подключение к провайдеру - ethernet и делать это надо скрытно от провайдера, у меня же - выделенная линия. Если выдернуть шнур на моём конце, то на том конце тут же "загорится аварийный сигнал". Соответственно мне надо будет объяснить провайдеру, почему я оборвал линию, а в этом случае, пров примет меры, чтобы не прошло ни бита.

>2. Телеком использует для снятия статистики NetFlow. Таким образом, если пакет пришел

Юристы не знают что такое NetFlow, есть договор в котором описана услуга (1 мбит) и есть детализация от провайдера, по которой вам нужно заплатить за выкачивание в несколько раз больше физически возможного по услуге, есть ваши логи по которым вы никакого трафика не получили. На этом и стоит строить обращение в суд.

>на провайдера, то он посчитается и плевать хотел провайдер, на то,
>что отправить его некуда.

В этом случае трафик пришел к ним, а не к вам. Вы не получили услугу (трафик), платить не за что.

>Если выдернуть шнур на моём конце, то на том конце тут
>же "загорится аварийный сигнал". Соответственно мне надо будет объяснить

Пошел флуд - выдернул шнур - у них загорелся сигнал - они звонят вам - зафиксировали, что они подтвердили отсутствие линка - по детализации посмотрели что они на это время посчитали трафик.

>я оборвал линию, а в этом случае, пров примет меры, чтобы
>не прошло ни бита.

А вам не это ли нужно ? Все равно во время флуда работа voip будет блокироавна.

Тогда если ЕСТЬ ВОЗМОЖНОСТЬ делаем следующее:
1. вынимаем провод по которому подаётся интернет из штекера
2. провод опломбируем и юридически фиксируем факт отключения.
3. ждём месячный отчёт и счёт от провайдера.
если у вас в счет включен трафик который вы реально не могли
потребить (провод вынут из разьёма и опломбирован) берём эти счета и
идём к юристу а потом в суд.

к сожалению технически отсечь вы это не сможете никак - всё что ушло по проводу от прова в вашу сторону па-любому вы получите, даже если будете дропать все приходящие пакеты. соответственно и входящий траффик попадёт в биллинг прова, и денежку он вам выставит тоже по входящему (или какой там у вас тариф) траффику.
<dumb guess> поставьте свою считалку, если получится - тоже сертифицированную, и потом предъявите ваши логи, если разница будет столь велика есть шанс отсудить бабла за траффик и на пиво в качестве морального ущерба ;) </dumb guess>
ну и не забывайте слать мыло администраторам сетей из которых флудят, можт повезёт и прекратят сие безобразие ;)