Траффик с Akamai

Добрый день!
Не нашел более профильного форума для своего вопроса.
на нашу организацию пришел счет за декабрь в 2 рааз выше, чем обычно. После запроса детализации выясняется, что начиная с 18 декабря и по 30 декабря скачано огромноое количество трафика (около 1 Гб в день) с адресов 92.122.126.233 (92.122.208.242 и пр.), в общем эти IP-адреса принадлежат некой akamaitechnologies.com.
Поискал уже в гугле - мыслей по по поводу этого сервера полно, конкретики никакой - это и вирусы, это и обновление Висты и пр.
Но тогда почему раньше все было хорошо, а с 18-го числа трафик начал расти огромными шагами.
Антивирусы стоят, Виста только на одном компьютере в сети, который в сети очень давно.

Весь трафик расходуется исключительно в рабочее время. Интернет по радиоканалу, сначала думал, что из-за помех, но дело не в этом.
Что это может быть? Кто сталкивался?
Как оспорить этот трафик у провайдера? Могут ли они конкретизировать этот некий загадочный Akamai? Я ведь тоже могу им сказать, что мы этот трафик не расходовали.

Адеса Akamai не пингуются

[Сообщение изменено пользователем 27.01.2010 21:32]

наймите Одмина, отключите обновления Висты.

В том то и дело, что этой Висте уже пара лет и она никогда столько траффика не жрала, так что дело не в ней. С чего бы это вдруг Висте приспичило бы именно с 18-го числа начать выкачивать по 1Гб в день?

как вариант - словили виря - троянца, включили обновления системы.

а вообще яндекс выдает на раз-два

http://it.smilehub.ru/?p=30


CDN-серверы Akamai помогают управлять трафиком на самых посещаемых сайтах интернета, кэшируя их содержимое и перераспределяя информационные потоки внутри глобальной сети. CDN-серверы используются также для отражения DoS-атак. Только благодаря инфраструктуре Akamai сайт Microsoft непрерывно держится в онлайне начиная с августа 2003 года, когда на него началась перманентная атака со стороны машин, инфицированных червем Blaster. В августе 2003 года Microsoft изменила собственные DNS-настройки так, что все запросы по адресу www.microsoft.com обрабатываются не машинами корпорации, а службой кэширования Akamai
Это означает, что Вы можете получать обновления или другой контент с этих адресов, запрашивая совсем другие сайты.
Будьте внимательны в настройках своих фаерволов и операционных систем.

Это понятно, но как узнать правду?
Куда реально ушел траффик?

Если бы обновления шли, они бы и до 18-го декабря тоже шли, так что вариант с обновлениями отпадает

Ну обновления то разные, бывают по несколько мб, бывают по несколько сотен мб. Посмотрите историю обновлений может все проясниться.

хорошо, даже если и так
предположим теоретически, что все компы в сети не обновлялись (а в инете всего 10 компов, из них 9 вин хп и один виста) и вдруг эти компы начали 21-го числа обновляться и наобновлялись суммарно на 5 гб.
Даже если представить, что это возможно, то что же это за обновления такие по 500 мб каждый?

Не надо ничего предполагать, пусть админ смотрит логи.




никак :-) трафик вы потребили, оплатите



им это вообще не надо, это ваша проблема.
Провайдер может только дать вам NetFlow, а там сами разбирайтесь.
Но в этой куче адресов вы ничего не поймете и практического смысла для вас нет. Вывод - надо на своей стороне вести статистику потребления по машинам конторы.



сказать вы хоть что можете, но они правы будут в суде. У них сертифицированное оборудование.

Да я и есть админ и сейчас смотрю логи




В том то и дело, что не потребляли, трафик выроз в 2 раза ни с того ни с сего.



Другого выхода и нет, диреткор сказал, что не оплатит этот счет 100%. На крайняк к другому првайдеру подключимся



Вот такие логи выслал провайдер

194.107.116.201 85.235.41.30 673 57390
77.234.2.146 85.235.41.30 35 2556 Ext
85.235.41.30 77.234.2.146 37 3050
85.235.41.30 213.239.193. 36 234 17380
85.235.41.30 88.221.35.191 236 72098
88.221.35.191 85.235.41.30 120 31846 Ext
85.235.41.30 94.100.179.31 32 3152
94.100.179.31 85.235.41.30 32 1664
92.122.208.242 85.235.41.30 165754 247838025 Ext
85.235.41.30 92.122.208.242 84112 4442898

На месте директора я бы для начала выгнал админа, не способного объяснить потребление трафика.





как не потребляли, если он прошел через ваш маршрутизатор? :-)

это и есть NetFlow, но он вам не поможет.
вам надо смотреть статистику потребления внутри своей сети, понять кто там фильмов накачал

Если бы была скачка, было бы видно ресурс, откуда она шла
а здесь их как бы и нету, сразу же эти Akamai.
И качать то фильмы вроде некому, сеть небольшая, среди тех кто использует интернет.


Ну а вы как объясните имея на руках Net Flow?
по поводу своих прокси - ну нету их у нас, не было их до меня изначально, а я сам тут недавно и еще не поставил.

И еще сразу же глобальный вопрос появился - зачем тогда вообще нужна детализация, если можно скрыться на акамаях и никаких следов не видно?

детский лепет, который не решает проблему.
Платить за потребленный трафик придется, противопоставить статистике провайдера вам нечего.




А что там объяснять, все и так ясно.
Источник, получатель, порт, трафик и категория обслуживания (тариф).

Вы так и не выяснили обновления получали или нет, хотя это делается за 1 минуту. И на вирусы не проверили, чтоб убедиться что не в них дело.

Вы какую-то ерунду пишите, чесслово.
Провайдер не оперирует такой категорией как имя хоста, не хватало ему еще резольвить все это, тем более что сотни сайтов могут сидеть на одном ip.

Именно для этого внутри сети надо иметь свою систему учета статистики.

На вирусы все проверено лично с утра на каждом компьютере
Обновления отключены - тоже лично проверено сегодня
Хотя так и было раньше и сами по себе обновления вряд ли бы включились. Все началось 18-го числа.




Ну да - лепет, но провайдер ведь тоже не сможет конкретно сказать куда ушел траффик - на некий 92.122.208.242, который даже пинговать себя не дает. Я понимаю, что они правы, но ведь и они объяснить не смогут.

Жаль, что ответа так и не получил. Но все равно спасибо хоть за какие то ответы.
Попросил помощи, чтобы разобраться, а получилось как в известном анекдоте:

Американский форум.Задаёшь вопрос,потом тебе отвечают.
Израильский форум.Задаёшь вопрос,потом тебе задают вопрос.
Русский форум.Задаёшь вопрос,потом тебе долго расказывают какой ты мудак.

Владелец любой системы вправе запретить icmp.
Да и что вам даст это пингование?



Зачем им что-то объяснять? У них есть поток, отданный вашему маршрутизатору, этого достаточно.

Диалог затянулся. Отпишитесь потом о результатах расследования.

Вот вычитал в инете - похожая ситуация.
Как и у нас же - по нашим данным - у нас траффик не проходил, а по данным провайдера - проходил. Как тогда быть?
Все равно в суде будет прав провайдер, так как у них оборудование сертифицированное?


"Случилась такая неприятная ситуация, в январе пришел счет от провайдера, в 2.5 раза превышающий наш лимит трафика. Установлен win2k3, isa2006, логанализатор proxyinspector 2.6
начал проверять, что за безобразие такое, по данным провайдера (mastertel.ru) 5 декабря мы скачали 25 gb, по нашим данным 460 mb, запросили с провайдера детализацию, вот что там написано


Код:
xxx.xxx.xxx.xxx 84.53.136.150 05-DEC-08 in 846 186 359
xxx.xxx.xxx.xxx 84.53.136.153 05-DEC-08 in 852 983 699
xxx.xxx.xxx.xxx 84.53.182.152 05-DEC-08 in 506 842 248
xxx.xxx.xxx.xxx 84.53.182.154 05-DEC-08 in 207 934 611
xxx.xxx.xxx.xxx 84.53.182.18 05-DEC-08 in 186 381 038
xxx.xxx.xxx.xxx 84.53.182.186 05-DEC-08 in 297 928 913
xxx.xxx.xxx.xxx 84.53.182.19 05-DEC-08 in 165 122 065
xxx.xxx.xxx.xxx 84.53.182.195 05-DEC-08 in 456 467 062
xxx.xxx.xxx.xxx 84.53.182.34 05-DEC-08 in 183 197 918
xxx.xxx.xxx.xxx 84.53.182.35 05-DEC-08 in 190 886 638
xxx.xxx.xxx.xxx 92.122.216.120 05-DEC-08 in 155 843 818
xxx.xxx.xxx.xxx 92.122.217.177 05-DEC-08 in 9 073 128 673
xxx.xxx.xxx.xxx 92.122.217.178 05-DEC-08 in 1 659 408 062
xxx.xxx.xxx.xxx 92.122.217.195 05-DEC-08 in 6 077 987 771
xxx.xxx.xxx.xxx 92.122.217.208 05-DEC-08 in 1 086 560 077
xxx.xxx.xxx.xxx 92.122.217.209 05-DEC-08 in 3 862 481 856



ресурсы компании akamai, по нашим данным вообще не проходят в логах

у меня вопрос, что это может быть? могло ли что -то таких объемов пройти мимо isa сервера и не отметиться в логах? сталкивался ли кто с подобной ситуацией?"

Самое интересное - что где был не читал про этот Акамаи - все советы сводятся к одному - перейти на безлим, проверить на вирусы и отключить обновление системы.
И ни одного реально дельного совета нет. Попали многие, а проблема так и не решена.

Это походит на входящую платную смс. Так что суд точно будет

Похоже причина найдена на одном из форумов:

"В результате поиска было выяснено, что у многих юридических и физических лиц иногда встречается подобная ситуация – возникают мегабайты или гигабайты трафика, который "они не качали".

Такая ситуация, предположительно, получается следующим образом: компьютер, где установлено ПО (например от Adobe), посылает запрос на сервер обновлений Adobe, а тот в свою очередь инициирует соединение от сервера Akamai.

И все что оттуда идет – запрещается программным обеспечением прокси-сервера, поскольку является незапрошенным трафиком.

Выход такой - либо повальное запрещение обновлений любого ПО, либо переход на безлимитку. Я перешел на безлимитку, сговорившись с провайдером по поводу льготной цены на перерасход траффика"

Не ваш случай это.

Судя из

92.122.208.242 85.235.41.30 165754 247838025 Ext
85.235.41.30 92.122.208.242 84112 4442898

трафик вы все же запрашивали.
Проверьте нет ли у вас п2п клиентов на машинах.
м.б. какой-то ушлый сотрудник завелся.




:-)

Продолжаю из того же форума:

"а можно поподробней ? это как ? сессии нет - трафика тоже не должно быть. Ну будет 1 килобайт - но это ж не много."

"Инет - по адслу
Я так понимаю, что комп из локалки запрашивал обновление, они его слали но с другого сервера, иса руби трафф, комп продолжал просить обновления, и все повторялось по циклу.
По внутреннему трафу у меня эти гигабайты не прошли."


"за такую статистику прову оборвать кожаный мешочек. пусть tcpflow показывает. не сможет -> биллинг не сертифицированный 100%-но -> идет на ....

Добавлено:
добавлю. мы всегда считали траф с "внутренней" стороны прова. т.е. если к нему прилетело по нашу душу по 139 порту и он это рубанул, то это не считается а уж то, что через маршрутизатор просочилось к нам "по честному" - тут вопросов нет и не важно отлупили мы или нет."

отсюда:
http://forum.ru-board.com/topic.cgi?forum=8&topic=...

"Какая-то Акамаи" - компания которая предоставляет услуги доставки контента для софтверных компаний. Её услугами пользуются очень известные бренды, в том числе Майкрософт для обновления Windows.