- Лишний трафик мимо Squid, Aquarius, 17:52 , 10-Авг-11 (1)
> Добрый день. > Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, > далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. > Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике > Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 > и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. > На проксе также стоит касперский антивирус. > Есть мысли, что это и куда копать?есть: в сторону более подробной информации
- Лишний трафик мимо Squid, rusadmin, 06:26 , 11-Авг-11 (2)
>> Добрый день. >> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, >> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. >> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике >> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 >> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. >> На проксе также стоит касперский антивирус. >> Есть мысли, что это и куда копать? > есть: в сторону более подробной информации может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer?
- Лишний трафик мимо Squid, eaps, 11:09 , 11-Авг-11 (5)
>>> Добрый день. >>> Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, >>> далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. >>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике >>> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 >>> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. >>> На проксе также стоит касперский антивирус. >>> Есть мысли, что это и куда копать? >> есть: в сторону более подробной информации > может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer? Точно нет. С этим строго.
- Лишний трафик мимо Squid, _HK_, 09:06 , 11-Авг-11 (3)
inetnum: 92.122.0.0 - 92.123.255.255 netname: EU-AKAMAI-20071113 descr: Akamai TechnologiesAkamai предоставляет ресурсы Microsoft, в частности для Windows Update.
- Лишний трафик мимо Squid, Andrey Mitrofanov, 10:15 , 11-Авг-11 (4)
> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике > Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 > и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального... Винды ночью обновляются? Каждую ночь %) заново и по полной. Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то кто-то ходит ч-з NAT мимо сквида, очевидно... Ну, tcpdump-ом ловить или netflow какой водрузить.
- Лишний трафик мимо Squid, eaps, 11:16 , 11-Авг-11 (6)
>> Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике >> Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 >> и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. > Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального... > Винды ночью обновляются? Каждую ночь %) заново и по полной. > Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и > соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то > кто-то ходит ч-з NAT мимо сквида, очевидно... > Ну, tcpdump-ом ловить или netflow какой водрузить.В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да - прокся на себя что-то льет постоянно. Циска говорит то же самое, что прокся льет на себя. Может, что-то с кешированием? Отключали путем no_cache deny all - не помогает. Версия Squid 3.1.0.17
- Лишний трафик мимо Squid, Alexander Kapralov, 18:36 , 29-Ноя-11 (7)
>[оверквотинг удален] >> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального... >> Винды ночью обновляются? Каждую ночь %) заново и по полной. >> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и >> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то >> кто-то ходит ч-з NAT мимо сквида, очевидно... >> Ну, tcpdump-ом ловить или netflow какой водрузить. > В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да > - прокся на себя что-то льет постоянно. Циска говорит то же > самое, что прокся льет на себя. Может, что-то с кешированием? Отключали > путем no_cache deny all - не помогает. Версия Squid 3.1.0.17 Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, но которые блокируются вашим шлюзом (по какой-то причине). То, что вы не получаете трафик на squid не мешает прова
- Лишний трафик мимо Squid, Alexander Kapralov, 18:37 , 29-Ноя-11 (8)
>[оверквотинг удален] >>> Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального... >>> Винды ночью обновляются? Каждую ночь %) заново и по полной. >>> Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и >>> соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то >>> кто-то ходит ч-з NAT мимо сквида, очевидно... >>> Ну, tcpdump-ом ловить или netflow какой водрузить. >> В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да >> - прокся на себя что-то льет постоянно. Циска говорит то же >> самое, что прокся льет на себя. Может, что-то с кешированием? Отключали >> путем no_cache deny all - не помогает. Версия Squid 3.1.0.17 Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, но которые блокируются вашим шлюзом (по какой-то причине). То, что вы не получаете трафик на squid не мешает провайдеру считать ваш трафик как входящий.
|