Добрый день.
Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. На проксе также стоит касперский антивирус.
Есть мысли, что это и куда копать?
> Добрый день.
> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
> На проксе также стоит касперский антивирус.
> Есть мысли, что это и куда копать?есть: в сторону более подробной информации
>> Добрый день.
>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
>> На проксе также стоит касперский антивирус.
>> Есть мысли, что это и куда копать?
> есть: в сторону более подробной информацииможет ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer?
>>> Добрый день.
>>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
>>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
>>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
>>> На проксе также стоит касперский антивирус.
>>> Есть мысли, что это и куда копать?
>> есть: в сторону более подробной информации
> может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer?Точно нет. С этим строго.
inetnum: 92.122.0.0 - 92.123.255.255
netname: EU-AKAMAI-20071113
descr: Akamai TechnologiesAkamai предоставляет ресурсы Microsoft, в частности для Windows Update.
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
Винды ночью обновляются? Каждую ночь %) заново и по полной.
Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то кто-то ходит ч-з NAT мимо сквида, очевидно...
Ну, tcpdump-ом ловить или netflow какой водрузить.
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
> Винды ночью обновляются? Каждую ночь %) заново и по полной.
> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
> кто-то ходит ч-з NAT мимо сквида, очевидно...
> Ну, tcpdump-ом ловить или netflow какой водрузить.В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да - прокся на себя что-то льет постоянно. Циска говорит то же самое, что прокся льет на себя. Может, что-то с кешированием? Отключали путем no_cache deny all - не помогает. Версия Squid 3.1.0.17
>[оверквотинг удален]
>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
>> Винды ночью обновляются? Каждую ночь %) заново и по полной.
>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
>> кто-то ходит ч-з NAT мимо сквида, очевидно...
>> Ну, tcpdump-ом ловить или netflow какой водрузить.
> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да
> - прокся на себя что-то льет постоянно. Циска говорит то же
> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали
> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, но которые блокируются вашим шлюзом (по какой-то причине). То, что вы не получаете трафик на squid не мешает прова
>[оверквотинг удален]
>>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
>>> Винды ночью обновляются? Каждую ночь %) заново и по полной.
>>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
>>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
>>> кто-то ходит ч-з NAT мимо сквида, очевидно...
>>> Ну, tcpdump-ом ловить или netflow какой водрузить.
>> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да
>> - прокся на себя что-то льет постоянно. Циска говорит то же
>> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали
>> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update,
но которые блокируются вашим шлюзом (по какой-то причине). То, что вы
не получаете трафик на squid не мешает провайдеру считать ваш трафик как входящий.