https://www.opennet.ru/openforum/vsluhforumID12/6688.html Добрый день. <br>Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. На проксе также стоит касперский антивирус. <br>Есть мысли, что это и куда копать? <br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#8 Tue, 29 Nov 2011 14:37:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...<br>&gt;&gt;&gt; Винды ночью обновляются? Каждую ночь %) заново и по полной.<br>&gt;&gt;&gt; Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и <br>&gt;&gt;&gt; соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то <br>&gt;&gt;&gt; кто-то ходит ч-з NAT мимо сквида, очевидно...<br>&gt;&gt;&gt; Ну, tcpdump-ом ловить или netflow какой водрузить.<br>&gt;&gt; В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да <br>&gt;&gt; - прокся на себя что-то льет постоянно. Циска говорит то же <br>&gt;&gt; самое, что прокся льет на себя. Может, что-то с кешированием? Отключали <br>&gt;&gt; путем no_cache deny all - не помогает. Версия Squid 3.1.0.17 <br><br>Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, <br>но которые блокируются вашим шлюзом (по какой-то причине). То, что вы <br>не получаете трафик на squid не мешает провайдеру считать ваш трафик как входящий. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#7 Tue, 29 Nov 2011 14:36:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...<br>&gt;&gt; Винды ночью обновляются? Каждую ночь %) заново и по полной.<br>&gt;&gt; Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и <br>&gt;&gt; соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то <br>&gt;&gt; кто-то ходит ч-з NAT мимо сквида, очевидно...<br>&gt;&gt; Ну, tcpdump-ом ловить или netflow какой водрузить.<br>&gt; В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да <br>&gt; - прокся на себя что-то льет постоянно. Циска говорит то же <br>&gt; самое, что прокся льет на себя. Может, что-то с кешированием? Отключали <br>&gt; путем no_cache deny all - не помогает. Версия Squid 3.1.0.17 <br><br>Идут запросы от клиентов (через squid или мимо) Windows Update, Adobe Update, но которые блокируются вашим шлюзом (по какой-то причине). То, что вы не получаете трафик на squid не мешает прова<br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#6 Thu, 11 Aug 2011 07:16:33 GMT &gt;&gt; Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике <br>&gt;&gt; Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 <br>&gt;&gt; и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.<br>&gt; Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального... <br>&gt; Винды ночью обновляются? Каждую ночь %) заново и по полной.<br>&gt; Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и <br>&gt; соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то <br>&gt; кто-то ходит ч-з NAT мимо сквида, очевидно...<br>&gt; Ну, tcpdump-ом ловить или netflow какой водрузить.<br><br>В логах ничего нет. tcpdump-ом пытались, лишь подтвердился тот факт, что да - прокся на себя что-то льет постоянно. Циска говорит то же самое, что прокся льет на себя. Может, что-то с кешированием? Отключали путем no_cache deny all - не помогает. Версия Squid 3.1.0.17<br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#5 Thu, 11 Aug 2011 07:09:59 GMT &gt;&gt;&gt; Добрый день.<br>&gt;&gt;&gt; Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, <br>&gt;&gt;&gt; далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.<br>&gt;&gt;&gt; Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике <br>&gt;&gt;&gt; Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 <br>&gt;&gt;&gt; и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.<br>&gt;&gt;&gt; На проксе также стоит касперский антивирус.<br>&gt;&gt;&gt; Есть мысли, что это и куда копать?<br>&gt;&gt; есть: в сторону более подробной информации <br>&gt; может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer? <br><br>Точно нет. С этим строго. <br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#4 Thu, 11 Aug 2011 06:15:17 GMT &gt; Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике <br>&gt; Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 <br>&gt; и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. <br><br>Сетки, судя по whois, Akamai-вские. Теоретически, не должно быть ничего криминального...<br><br>Винды ночью обновляются? Каждую ночь %) заново и по полной.<br><br>Если в логах сквида ничего нет (и логи отдеьльно не фильтруются), и соединения полностью устанавливаются (=таки кто-то отвечает и с "этой стороны"), то кто-то ходит ч-з NAT мимо сквида, очевидно...<br><br>Ну, tcpdump-ом ловить или netflow какой водрузить.<br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#3 Thu, 11 Aug 2011 05:06:19 GMT inetnum: 92.122.0.0 - 92.123.255.255<br>netname: EU-AKAMAI-20071113<br>descr: Akamai Technologies<br><br>Akamai предоставляет ресурсы Microsoft, в частности для Windows Update.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#2 Thu, 11 Aug 2011 02:26:14 GMT &gt;&gt; Добрый день.<br>&gt;&gt; Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, <br>&gt;&gt; далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход.<br>&gt;&gt; Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике <br>&gt;&gt; Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 <br>&gt;&gt; и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету.<br>&gt;&gt; На проксе также стоит касперский антивирус.<br>&gt;&gt; Есть мысли, что это и куда копать?<br>&gt; есть: в сторону более подробной информации <br><br>может ктото из сотрудников пользуется программами удаленного доступа типа TeamViewer? <br><br> https://www.opennet.ru/openforum/vsluhforumID12/6688.html#1 Wed, 10 Aug 2011 13:52:05 GMT &gt; Добрый день.<br>&gt; Существует проблема перерасхода траффика. Ситуация такая: есть некоторые сети, далее squid, <br>&gt; далее цисковский нат. На циске внутренние порты закрыты аксесс-листом на выход. <br>&gt; Ежедневно траффик составляет около 50-60 ГБ, при том, что в статистике <br>&gt; Lightsquid видно только около 5-7 ГБ. Паразитный траффик идет с 92.122.0.0/16 <br>&gt; и 92.123.0.0/16. Траффик активно льется на проксю ночью, когда пользователей нету. <br>&gt; На проксе также стоит касперский антивирус.<br>&gt; Есть мысли, что это и куда копать?<br><br>есть: в сторону более подробной информации<br>