форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос теории по адресному пространству"
Сообщение от A Clockwork Orange on 15-Ноя-04, 22:38  (MSK)
Поставил нетамс которой получает данные по NetFlow с Cisco. Кииент владеет сетью /29 Клиент использует только два адреса. По отчетам четко видно что на cisco проиходит трафик на "холостые" адреса из клиентской сети, и неслабый трафик. Можно поянть что трафик даже на пустые адреса будет, но не настолько большой. Есть ли этому объяснение? Чем больше сеть и "холостых" адресов, тем больше будет фиксировать провайдер паразитного трафика на эти адреса
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос теории по адресному пространству"
Сообщение от Beginner (??) on 16-Ноя-04, 08:07  (MSK)
>Поставил нетамс которой получает данные по NetFlow с Cisco. >Кииент владеет сетью /29 >Клиент использует только два адреса. >По отчетам четко видно что на cisco проиходит трафик на "холостые" адреса >из клиентской сети, и неслабый трафик. >Можно поянть что трафик даже на пустые адреса будет, но не настолько >большой. >Есть ли этому объяснение? >Чем больше сеть и "холостых" адресов, тем больше будет фиксировать провайдер паразитного >трафика на эти адреса Да, чем больше "путых" адресов, тем больше трафика. Если нет целевого адреса, то возможны 2 варианта 1. Пакет отбивается по дефолту, возвращается обратно, и так до истечения TTL, то есть успевает пробежать по линку раз 20-30, а то и все 60. 2. Маршрутизатор видит что хоста нет и отправляет на запрос ICMP пакет типа хост недоступен. Влюбом случае сканирование генерирует трафик в обе (!!!) стороны. Один из вариатов - сроутить полную сетку в null, и задать сроутить более короткие сети как это необходимо. В этом случае все, что приходит и не имеет получателя будет просто уничтожаться. В крайнем случае будет работать 2-й сценарий, который генерирует гораздо меньше трафика
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Вопрос теории по адресному пространству"
	Сообщение от A Clockwork Orange on 16-Ноя-04, 09:17  (MSK)
	На пограничном маршрутизаторе вся сеть и фейковые сети смаршрутизированы в Null давано на нем же стоит не посылать icmo о недоступности. Значит третьего не дано.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вопрос теории по адресному пространству"
Сообщение от EvilX (??) on 16-Ноя-04, 10:26  (MSK)
У меня три сети класса C. Так вот паразитного траффика на всю сеть набегает в месяц до 10ГБ. Интернет - грязное в плане траффика пространство. Паразитный траффик, судя по логам snort-а, это сканы. Не прекращающиеся. В среднем на один айпи набегает в месяц 10-30 МБ.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Вопрос теории по адресному пространству"
	Сообщение от uldus (ok) on 16-Ноя-04, 13:30  (MSK)
	>Паразитный траффик, судя по логам snort-а, это сканы. Не прекращающиеся. >В среднем на один айпи набегает в месяц 10-30 МБ. Помню кто-то за несколкьо месяцев статистику по неиспользуемым адресам вел. Там тоже примерно 10-30 МБ на поднятый IP выходило. По моей статистике, проходит около 100 Кб в месяц на поднятый IP без прямой зоны в DNS, на IP для которого есть запись в DNS и зона допускает трансфер трафик около 500 Кб. Чтобы 10-30 МБ я встречал, только во время эпидемий и то трафик был от пользователей из той же сети.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.