Есть очень извращенная ситуация, ни на одном форуме в нете идей не нашел...Есть сервер хостинга, с Plesk 8.2 + Debian Etch 4.0
У него два канала - быстрый до TAS-IX (ташкенский трафикообменник) (100мбит) и канал во "внешний" инет (на вход 1 Мбит). У нас тут в стране инет дорогой, а быстрый выход в TAS-IX можно купить недорого.
Всякие нехорошие дяди, покупая хостинг, ставят на него кроме основных нужных функций всякого рода phpProxy, phpRapidGet и т.п., качают через хостинг, сидя в тасикс, всякую муть типа музыки, фильмов, и т.п., забивая и без того узкий входящий канал. Сайтов на хостинге много, вручную присматривать нереально.
Вопрос:
как можно отслеживать, что какой-нибудь скрипт на одном из сайтов производит закачку? Методов может быть миллион - как curl, wget, встроенные средства пхп...
Пока что я только urlsnarf'ом наблюдаю за трафиком, на большее мозгов не хватило. Сам плеск, зараза, трафик, генерированный веб-сайтом, тарифицировать не умеет.
Мне нужно - либо иметь жесткий контроль над тем, что качается, либо заставить плеск учитывать этот трафик (а он учитывает только трафик запросов-ответов к серверу)То что закачка идет - я вижу, полная детализация по netflow есть. Но вот кто качает, чей именно сайт....
Вариант закрыть входящий http не подходит - перестанут работать всякий информеры погод, валют и т.п.
>[оверквотинг удален]
>пхп...
>Пока что я только urlsnarf'ом наблюдаю за трафиком, на большее мозгов не
>хватило. Сам плеск, зараза, трафик, генерированный веб-сайтом, тарифицировать не умеет.
>Мне нужно - либо иметь жесткий контроль над тем, что качается, либо
>заставить плеск учитывать этот трафик (а он учитывает только трафик запросов-ответов
>к серверу)
>
>То что закачка идет - я вижу, полная детализация по netflow есть.
>Но вот кто качает, чей именно сайт....
>может быть загнуть входящий с узкого канала трафик на squid и на нем по mime порезать все лишнее: фильмы, музыку, архивы....
>Вариант закрыть входящий http не подходит - перестанут работать всякий информеры погод,
>валют и т.п.хм... а разве эти информеры не браузер подгружает
>>
>>То что закачка идет - я вижу, полная детализация по netflow есть.
>>Но вот кто качает, чей именно сайт....
>>
>
>может быть загнуть входящий с узкого канала трафик на squid и на
>нем по mime порезать все лишнее: фильмы, музыку, архивы....Я над этим думал, это похоже последний вариант. Просто хотелось бы мониторить, _чей именно_ сайт пытается качать, для того чтобы или долбить административно, или, что было бы вообще чудесно - выставлять счет за использованный трафик
(в случае возможности предоставлять счета можно ничего и не резать, народец пару раз попадет на несколько сотен зеленых за трафик и больше качать не будет)>
>>Вариант закрыть входящий http не подходит - перестанут работать всякий информеры погод,
>>валют и т.п.
>
>хм... а разве эти информеры не браузер подгружаетУ нас сайты люди через ж%%пу пишут, может быть так что и не браузер.
>
>хм... а разве эти информеры не браузер подгружаетя наблюдал, легитимного трафика довольно много - различные картинки с других сайтов подтягиваются, и т.п.
Сайтов очень много, мониторинг файловой системы на предмет появления "левых" файлов не пройдет...
>То что закачка идет - я вижу, полная детализация по netflow есть.
>Но вот кто качает, чей именно сайт....определить порт куда идет поток, определить кто слушает этот порт, определить кто запустил этот процесс
http://www.google.com/search?ie=UTF-8&hl=ru&q=%D0%...
>>То что закачка идет - я вижу, полная детализация по netflow есть.
>>Но вот кто качает, чей именно сайт....
>
>определить порт куда идет поток, определить кто слушает этот порт, определить кто
>запустил этот процесс
>
>http://www.google.com/search?ie=UTF-8&hl=ru&q=п п╟п╨ я┐п╥п╫п╟я┌я▄ п╨п╟п╨п╟я▐ п©я─п╬пЁя─п╟п╪п╪п╟ я│п╩я┐я┬п╟п╣я┌ п©п╬я─я┌Ха ;-) Ну определю я, что этот порт открыл апач - и что? Ведь все php-скрипты (как подавляющая масса используемых) выполняются-то от имени веб-сервера! :-)
Так что это ничего не дает. От имени пользователей хостинга запускаются CGI-скрипты, если бы все через CGI качали - давно бы уже выловил...
>[оверквотинг удален]
>>запустил этот процесс
>>
>>http://www.google.com/search?ie=UTF-8&hl=ru&q=п п╟п╨ я┐п╥п╫п╟я┌я▄ п╨п╟п╨п╟я▐ п©я─п╬пЁя─п╟п╪п╪п╟ я│п╩я┐я┬п╟п╣я┌ п©п╬я─я┌
>
>Ха ;-) Ну определю я, что этот порт открыл апач - и
>что? Ведь все php-скрипты (как подавляющая масса используемых) выполняются-то от имени
>веб-сервера! :-)
>Так что это ничего не дает. От имени пользователей хостинга запускаются CGI-скрипты,
>если бы все через CGI качали - давно бы уже выловил...
>а разве у Plesk-а нет встроенной статистики по виртуальным хостам?