- Лишний трафик мимо Squid,
 Aquarius, 17:52 , 10-Авг-11 (1)> Добрый день.
> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
> На проксе также стоит касперский антивирус.
> Есть мысли, что это и куда копать?есть: в сторону более подробной информации
- Лишний трафик мимо Squid, rusadmin, 06:26 , 11-Авг-11 (2)
>> Добрый день.
>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
>> На проксе также стоит касперский антивирус.
>> Есть мысли, что это и куда копать?
> есть: в сторону более подробной информации может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer?
- Лишний трафик мимо Squid, eaps, 11:09 , 11-Авг-11 (5)
>>> Добрый день.
>>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid,
>>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.
>>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
>>> На проксе также стоит касперский антивирус.
>>> Есть мысли, что это и куда копать?
>> есть: в сторону более подробной информации
> может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer? Точно нет. С этим строго.
- Лишний трафик мимо Squid, _HK_, 09:06 , 11-Авг-11 (3)
inetnum: 92.122.0.0 - 92.123.255.255
netname: EU-AKAMAI-20071113
descr: Akamai TechnologiesAkamai предоставляет ресурсы Microsoft, в частности для Windows Update.
- Лишний трафик мимо Squid, Andrey Mitrofanov, 10:15 , 11-Авг-11 (4)
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального... Винды ночью обновляются? Каждую ночь %) заново и по полной. Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то кто-то ходит ч-з NAT мимо сквида, очевидно... Ну, tcpdump-ом ловить или netflow какой водрузить.
- Лишний трафик мимо Squid, eaps, 11:16 , 11-Авг-11 (6)
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике
>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16
>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.
> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
> Винды ночью обновляются? Каждую ночь %) заново и по полной.
> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
> кто-то ходит ч-з NAT мимо сквида, очевидно...
> Ну, tcpdump-ом ловить или netflow какой водрузить.В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да - прокся на себя что-то льет постоянно. Циска говорит то же самое, что прокся льет на себя. Может, что-то с кешированием? Отключали путем no_cache deny all - не помогает. Версия Squid 3.1.0.17
- Лишний трафик мимо Squid, Alexander Kapralov, 18:36 , 29-Ноя-11 (7)
>[оверквотинг удален]
>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
>> Винды ночью обновляются? Каждую ночь %) заново и по полной.
>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
>> кто-то ходит ч-з NAT мимо сквида, очевидно...
>> Ну, tcpdump-ом ловить или netflow какой водрузить.
> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да
> - прокся на себя что-то льет постоянно. Циска говорит то же
> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали
> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17 Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, но которые блокируются вашим шлюзом (по какой-то причине). То, что вы не получаете трафик на squid не мешает прова
- Лишний трафик мимо Squid, Alexander Kapralov, 18:37 , 29-Ноя-11 (8)
>[оверквотинг удален]
>>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...
>>> Винды ночью обновляются? Каждую ночь %) заново и по полной.
>>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и
>>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то
>>> кто-то ходит ч-з NAT мимо сквида, очевидно...
>>> Ну, tcpdump-ом ловить или netflow какой водрузить.
>> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да
>> - прокся на себя что-то льет постоянно. Циска говорит то же
>> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали
>> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17 Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update,
но которые блокируются вашим шлюзом (по какой-то причине). То, что вы
не получаете трафик на squid не мешает провайдеру считать ваш трафик как входящий.
|
Версия для распечатки
Лишний трафик мимо Squid, 
