Xaser veryfood.ru (доставка еды на дом)

Гостям запрещено оставлять сообщения.
Если вы хотите написать на форуме, то зарегистрируйтесь или авторизуйтесь.

  

> Фильтрация трафика завирусованных
Поблагодарившие автора за данную тему:
--------------------
SNeM, Devil13666, baxbax, Vendigo, Nable.
sdin
Отправлено: 04.08.2009, 22:24 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком» и администратор кампуса
****

Группа: Администраторы
Сообщений: 1961
Регистрация: 31.08.2007

Member Оффлайн

Репутация: 692


Для обеззараживания расплодившихся вирусов установлено ограничение:
не более 10 новых коннектов на любые адреса на 445 порт (расшаренные папки) за 80 секунд.
Бан снимается автоматически при отсутствии запросов в течение 80 секунд.
Гарантированно помогает от размножения конфикера и других гадов, пытающихся залить
себя другим пользователям в подсети (из-за которых у многих вылетает svchost)
Для теста ограничение включено только для нескольких подсетей.
При отсутствии проблем будет включено для всех.

P.s. Никто не собирается лечить зараженных. Только обезопасить от них остальных.
Личное сообщениеОтправить пользователю e-mailICQ
Поблагодарить за это сообщение
↑
Timon
Отправлено: 05.08.2009, 16:11 • Адрес этого сообщения
 
Участник
**

Группа: Участники
Сообщений: 102
Регистрация: 19.09.2008

Member Оффлайн

Репутация: 51


Эммм, 10 соединений за 3 минуты? Даже если будут отслеживаться только «сессии», а не фактические соединения, которых наверняка больше, то достаточно за эти 3 минуты открыть-закрыть 10 ссылок через альтер, чтобы быть забаненным, верно?

Если вирусы делают всего лишь одно соединение в минуту, то может следует банить на основании статистики за сутки?

Мешать распространению вирусов в сети это, конечно, хорошо, но не в ущерб нормальному использованию. Особенно учитывая то, что для защиты от упомянутого вируса достаточно поставить заплатку с локального сервера обновлений или отрубить «Службу сервера». Рано или поздно те, кого вы пытаетесь «обезопасить», всё равно подцепят вирус. Не лучше ли начать «просветительскую» работу среди пользователей? ;-)
Личное сообщение
Плохое сообщение
Поблагодарить за это сообщение
↑
sdin
Отправлено: 05.08.2009, 16:38 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком» и администратор кампуса
****

Группа: Администраторы
Сообщений: 1961
Регистрация: 31.08.2007

Member Оффлайн

Репутация: 692


Учить пользователей ставить обновления бессмысленно.

Самый радикальный способ - закрыть самбу вообще, ибо 90% вирусов ппадают через её порт. Остальные - через принесенные флешки и счачиваются из инета.
Личное сообщениеОтправить пользователю e-mailICQ
Поблагодарить за это сообщение
↑
Timon
Отправлено: 05.08.2009, 18:55 • Адрес этого сообщения
 
Участник
**

Группа: Участники
Сообщений: 102
Регистрация: 19.09.2008

Member Оффлайн

Репутация: 51


Блокировать SMB тоже бессмысленно. :-) Найдётся дыра в DNS-клиенте — DNS заблокируете?
Жизнь техподдержки тяжела и бессмысленна? Что поделаешь, от таких мер поток обращений в ТП из-за вирусов снизится незначительно (все кто мог заразиться, за эти полгода уже заразились), а вот вопросов «Почему шары не открываются?» прибавится порядком.

Но я это всё к тому, что нужно однозначно отличать вирусную активность от нормальной пользовательской. «10 соединений за 10 минут» этому требованию никак не отвечают.


!

Днс сервер стоит у нас, и дырки в нем мы закрываем.
Никто ведь не ругается, что 135,137 и 139 порты вместе с винсом давно закрыты в локалке

Личное сообщение
Плохое сообщение
Поблагодарить за это сообщение
↑
vmkib
Отправлено: 05.08.2009, 21:32 • Адрес этого сообщения
 
Продвинутый участник
***

Группа: Участники
Сообщений: 811
Регистрация: 24.10.2005

Member Оффлайн

Репутация: 1400


Таки это и ожидалось.

Как бы есть две крайности:
- не стоит сразу топором (это - я, пожалуй. Хотя понимаю, что такая «мягкотелость» часто воспринимается как слабость и абонент садится на шею с криком - а ты мне должОн сделать всё красиво),
- топором и только топором (утрированный вариант «обрезать, так обрезать») - это доведённый до ручки админ.

Как делают считающие свои деньги фирмы - они анализируют компоненты услуги - что приносит выгоду, а что приносит убыток. То, что приносит выгоду - холят и лелеют. А что приносит убыток - старательно выводят за скобки оплаченной услуги в область дополнительных плат. Т.е. делают некий минимум, предупреждая, что большие телодвижения с их стороны должны быть оплачены дополнительно. Но ни в коем случае не урезают предлагаемый сервис.

В нашем случае, на мой дилетантский взгляд, схема может быть такой:
- внятный предупредительный список на сайте провайдера - что именно плохо - как за этим следить...
- список последствий невыполнения,
- список предохранительных действий (с подробными инструкциями - если захотят и могут сделать сами),
- при нарушениях - предупреждения о нарушениях и последствиях, предложения о помощи (платной)
- осуществление угрозы с оповещением.


!

Официально нигде нет никакой локальной сети между пользователями. Такое уж наше законодательство. О каких строках в договоре можно говорить

Личное сообщениеОтправить пользователю e-mail
Плохое сообщение
Поблагодарить за это сообщение
↑
Timon
Отправлено: 06.08.2009, 22:13 • Адрес этого сообщения
 
Участник
**

Группа: Участники
Сообщений: 102
Регистрация: 19.09.2008

Member Оффлайн

Репутация: 51


sdin, а уже были какие-то попытки установления партнёрских отношений с касперским, др.вебом или яндексом?


!

Касперский для студентов бесплатен. Остальные при нашей аудитории (менее 1000 заинтересованных в услуге пользователей) предлагают нам в качестве вознаграждения максимум пару баннеров

Личное сообщение
Плохое сообщение
Поблагодарить за это сообщение
↑
sdin
Отправлено: 07.08.2009, 13:13 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком» и администратор кампуса
****

Группа: Администраторы
Сообщений: 1961
Регистрация: 31.08.2007

Member Оффлайн

Репутация: 692


Пользуются самбой в этой сети - 20% абонентов. Знают про форумы и что то читают - 5%
Однако 90% купивших себе новый компьютер включают его сразу в локальную сеть. У половины гарантированно не стоят обновления(на складе год пролежал, например)
Личное сообщениеОтправить пользователю e-mailICQ
Поблагодарить за это сообщение
↑
sdin
Отправлено: 13.08.2009, 17:36 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком» и администратор кампуса
****

Группа: Администраторы
Сообщений: 1961
Регистрация: 31.08.2007

Member Оффлайн

Репутация: 692


Фильтр включен для всех пользователей.

Ограничения: 10 попыток за 80 секунд.
Личное сообщениеОтправить пользователю e-mailICQ
Поблагодарить за это сообщение
↑
Наблюдатель
Отправлено: 13.08.2009, 19:26 • Адрес этого сообщения
 
флудер :)
****

Группа: Участники
Сообщений: 1012
Регистрация: 18.12.2005

Member Оффлайн

Репутация: 326


Цитата:

В Windows XP SP2 ограничено количество сетевых подключений, которые открываются в данный момент (находятся в «полуоткрытом» состоянии, например, какая-то программа начала устанавливать соединение, но ответ с противоположной стороны ещё не получен). Ранее количество сетевых подключений не ограничивалась, теперь же допускается всего 10 «полуоткрытых» соединений. В случае превышения лимита новые открываемые соединения будут поставлены в очередь, а в системный журнал событий будет занесено предупреждение 4226: TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.
Это ограничение по заявлениям Microsoft призвано снизить темпы распространения вирусов и сетевых червей.
Э-э-экстравагатное заявление. Если есть дыра в системе, то червь в неё и так пролезет, и никто или ничто ему в этом не помешает.
При таком подходе работа многих программ становится невозможна или очень медленна.
Первыми пострадали «P2P сети», где скорость сильно упала при передачи информации (скорее всего именно с ними и пыталась бороться корпорация). Затем дело коснулось и «многопотоковых сканеров». B LanScope это проявляется следующим образом, уже на этапе определения хостов пропускается 30% хостов, не говоря уже о ресурсах на этих хостах, плюс скорость сканирования достаточно низкая.
Выход оказался прост — изменить это ограничение в большую сторону и всё станет на свои места, как было раньше.
Исправить это ограничение, изменив реестр не получится, нужно пропатчить TCPIP.SYS, так как в нём зашито это ограничение.
И решение не заставило себя ждать ............... ДАЛЕЕ О ДРУГОМ...

-------------------------------------- в завершении моя отсебятинка
Надеюсь, этого админа уволят нахрен. Или сам уволится...
... блин, наберут по объявлению...


--------------------
MUDBЛичное сообщениеОтправить пользователю e-mailСайт пользователя
Плохое сообщение
Поблагодарить за это сообщение
↑
DoubleDragon
Отправлено: 13.08.2009, 20:02 • Адрес этого сообщения
 
флудер :)
****

Группа: Участники
Сообщений: 1867
Регистрация: 10.03.2007

Member Оффлайн

Репутация: 694


Цитата. Timon @ 06.08.2009, 23:13
sdin, а уже были какие-то попытки установления партнёрских отношений с касперским, др.вебом или яндексом?

Касперский для студентов бесплатен. Остальные при нашей аудитории (менее 1000 заинтересованных в услуге пользователей) предлагают нам в качестве вознаграждения максимум пару баннеров

Я бы вот с удовольсвием «ввязался» в «корпоративку». Пытался сделать так: у каспера есть возможность купеить ключ на 5 компов, оно дешевле выходит, НО эти компьютеры должны быть мои. Это касперычи мне так сказали и на их форуме тоже самое. Другой вопрос что хрен они проверят мои это компьтеры или компь.ютер моего друга...
В общем когда товарищам рассказл про это «палево» они решили не вступать в мой «корпорати-кооператив». Сейчас сижу с ключом на 2 компа :(

Цитата.
Как бы есть две крайности: - не стоит сразу топором (это - я, пожалуй. Хотя понимаю, что такая «мягкотелость» часто воспринимается как слабость и абонент садится на шею с криком - а ты мне должОн сделать всё красиво), - топором и только топором (утрированный вариант «обрезать, так обрезать») - это доведённый до ручки админ.  Как делают считающие свои деньги фирмы - они анализируют компоненты услуги - что приносит выгоду, а что приносит убыток. То, что приносит выгоду - холят и лелеют. А что приносит убыток - старательно выводят за скобки оплаченной услуги в область дополнительных плат. Т.е. делают некий минимум, предупреждая, что большие телодвижения с их стороны должны быть оплачены дополнительно. Но ни в коем случае не урезают предлагаемый сервис.

Я был в другой локалке (большой) но районой. Все проходило аналогично. Были тупые юзеры, которые хотели все и ничего не делалось. Боролись с ними путем закрытия доступа в сеть. Многие стали у «фирмы» покупать антивирус. Но уходили из-за политики фирмы очень мало. Особеннол 14 летние, кричащие о свободе попугаев.
А потом пирходили, потому что альтернатива была хуже. Тут тоже похожая ситуация, может у меня на доме есть еще куча провайдеров, может у них дешевле и так адлее, но мне просто лень из-за 100р в месяц перелопачивать, перенастраиваться, обзаводить связми (читай налаживат отношения с форумчанами). Так что банить по Ip до тех пор пока не вылечат компьютер.
p.s. не уверн что я разбираюсь в ваших IP и так далее, главное что- это интернет, а остальное это допуслуга от провайдера, потому что заманивать в сеть большими локальными ресурсами -для мипт, уж извинте смешно. Рабочими серваками игровыми? Ну может быть, хотя сайт про игры по моему не работает, там нажатие на ссылки ни к чему не приводит. Сетевой форум - вот он. Но и то - это не официальный форум сети, как я понимаю.
ТАК ЧТО бороться надо. Хуже уже не будет.


--------------------
ASUS P8P67 (rev.3.0),i5-2500K,ОЗУ 2*4 Гб, GTX 770, БП:Corsair "TX650W", Windows7 64 bit, IIyama ProLite E2473HDS
DriverPack Solution
Личное сообщениеОтправить пользователю e-mail
Плохое сообщение
Поблагодарить за это сообщение
↑
Мак-Гуру
Отправлено: 13.08.2009, 20:18 • Адрес этого сообщения
 
X-долгопрудненец
****

Группа: Участники
Сообщений: 5161
Регистрация: 30.04.2006

Member Оффлайн

Репутация: 4245


парни не надоело против ветра то...
)))
зальет же..
Телекому пох на ваши «просьбы», Касперу..гыгыгыгы тем паче..
скиньтесь на форуме да купите на 5 машин..


--------------------
Характер изменить нельзя.Можно только изменить характеру.[COLOR=blue]
Лучше жалеть о том, что сделал, чем о том, чего не делал.
Кто сам не без греха имеет право на грех.Но тот, кто доводит до греха,грехом не отделается.
MUDBЛичное сообщениеОтправить пользователю e-mailСайт пользователяICQ
Плохое сообщение
Поблагодарить за это сообщение
↑
DoubleDragon
Отправлено: 13.08.2009, 20:32 • Адрес этого сообщения
 
флудер :)
****

Группа: Участники
Сообщений: 1867
Регистрация: 10.03.2007

Member Оффлайн

Репутация: 694


Цитата.
скиньтесь на форуме да купите на 5 машин..

1) это будет незаконно.
2) 1 из 5 ключ потеряет (или даст под честное слово на 1 выход в сеть), пострадают все.


--------------------
ASUS P8P67 (rev.3.0),i5-2500K,ОЗУ 2*4 Гб, GTX 770, БП:Corsair "TX650W", Windows7 64 bit, IIyama ProLite E2473HDS
DriverPack Solution
Личное сообщениеОтправить пользователю e-mail
Плохое сообщение
Поблагодарить за это сообщение
↑
sdin
Отправлено: 13.08.2009, 20:45 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком» и администратор кампуса
****

Группа: Администраторы
Сообщений: 1961
Регистрация: 31.08.2007

Member Оффлайн

Репутация: 692


Цитата.
скиньтесь на форуме да купите на 5 машин..


У меня с семьей так. Часть в Екатеринбурге, чсть в области, часть у меня. Да и не на 5 машинах этот ключ. Как минимум на 15 уже стоит лет 8. Раз в два года брат продлевает.

Спросят когда 1000 вебов с этим ключом обновлятся полезут.
Личное сообщениеОтправить пользователю e-mailICQ
Поблагодарить за это сообщение
↑
DoubleDragon
Отправлено: 13.08.2009, 20:48 • Адрес этого сообщения
 
флудер :)
****

Группа: Участники
Сообщений: 1867
Регистрация: 10.03.2007

Member Оффлайн

Репутация: 694


Хм...у товарища нар аботе был косяк. Купил лицуху (официально на 2 компа). Но ведь интересно же, поставил на 3. И трындец - объяснялся 5 дней, что делать так больше не будет.
Тебе везет, значит.


--------------------
ASUS P8P67 (rev.3.0),i5-2500K,ОЗУ 2*4 Гб, GTX 770, БП:Corsair "TX650W", Windows7 64 bit, IIyama ProLite E2473HDS
DriverPack Solution
Личное сообщениеОтправить пользователю e-mail
Плохое сообщение
Поблагодарить за это сообщение
↑
Мак-Гуру
Отправлено: 13.08.2009, 20:58 • Адрес этого сообщения
 
X-долгопрудненец
****

Группа: Участники
Сообщений: 5161
Регистрация: 30.04.2006

Member Оффлайн

Репутация: 4245


Цитата. sdin @ 13.08.2009, 21:45
У меня с семьей так. Часть в Екатеринбурге, чсть в области, часть у меня.

ключевая фраза..
Ага)
кому охота возиться с тремя регионами..
ЗЫ. добавлено утром.
Спасибо за минус. Чем рады, на то и способны..
Ага)


--------------------
Характер изменить нельзя.Можно только изменить характеру.[COLOR=blue]
Лучше жалеть о том, что сделал, чем о том, чего не делал.
Кто сам не без греха имеет право на грех.Но тот, кто доводит до греха,грехом не отделается.
MUDBЛичное сообщениеОтправить пользователю e-mailСайт пользователяICQ
Плохое сообщение
Поблагодарить за это сообщение
↑
Yaroslav
Отправлено: 14.08.2009, 16:03 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком»
***

Группа: Администраторы
Сообщений: 225
Регистрация: 14.12.2007

Member Оффлайн

Репутация: 171


Конечно любое ограничение вызывает протест, но ни одной обоснованной претензии пока не прозвучала.
Данная функция серьезно повышает безопасность сети, не вызывая заметной деградации сервиса (первоначальные настройки - 10*60*24*0,75=10800 серверов в день это мало?))).
Решение о введении основывается на достаточно длительном анализе сетевой активности и опыте тех. поддержки (более половины обратившихся с претензиями на качество связи заражены одним или целым букетом вредоносных программ).
Ограничение в первую очередь направлено на блокировку абонентов зараженных не только старыми, но и новыми видами вирусов, а также программ сканирующих сеть.
Все ограничения динамические и могут меняться в зависимости от активности в сети, более подробное описание с текущими параметрами будет размещено на сайте.

По поводу раздачи пользователям бесплатных антивирусов, идея конечно хорошая. Но большинство пользователей не могут или не хотят его ставить. А также не знают, что OS надо обновлять, тем более есть неплохие бесплатные антивирусы например AVAST Home качайте ставьте и сервер с локального обновления OC Windows.

PS Большиство провайдеров технически не в состоянии решить эту проблему, в результате у них нет локальной сети вообще, либо делается вид что проблемы нет...


--------------------
MUDBЛичное сообщениеОтправить пользователю e-mail
Поблагодарить за это сообщение
↑
Other
Отправлено: 14.08.2009, 17:41 • Адрес этого сообщения
 
Продвинутый участник
***

Группа: Участники
Сообщений: 534
Регистрация: 25.02.2005

Member Оффлайн

Репутация: 228


Считаю что данная мера оправдана, но, просто для справки, возможно увеличение рейта для отдельных ip?


--------------------
Йо-хо-хо и канистра рома! Оо
Личное сообщениеОтправить пользователю e-mailICQ
Плохое сообщение
Поблагодарить за это сообщение
↑
Yaroslav
Отправлено: 14.08.2009, 18:07 • Адрес этого сообщения
 
Сотрудник «МФТИ-Телеком»
***

Группа: Администраторы
Сообщений: 225
Регистрация: 14.12.2007

Member Оффлайн

Репутация: 171


Цитата. Other @ 14.08.2009, 18:41
Считаю что данная мера оправдана, но, просто для справки, возможно увеличение рейта для отдельных ip?

при необходимости возможно. Также возможно полное исключение из рейта как ip абонентов, так и отдельных ip серверов к которым идет подключение.


--------------------
MUDBЛичное сообщениеОтправить пользователю e-mail
Поблагодарить за это сообщение
↑
 
1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
0 пользователей:
 

  



 

[ Время генерации страницы: 0.1376 сек. ]   [ 14 запросов ]   [ GZIP выключен ]

МФТИ-Телеком осуществляет подключение к интернету в г. Долгопрудный
(гибкая линейка тарифов для частных абонентов и юридических лиц)