Форум 3DNews

Форум 3DNews (http://forum.3dnews.ru/index.php)
-   Информационная безопасность, защита от вирусов (http://forum.3dnews.ru/forumdisplay.php?f=38)
-   -   Akamai может принести зло в любой дом (http://forum.3dnews.ru/showthread.php?t=82569)

DragonMX 04.01.2008 21:13

Akamai может принести зло в любой дом
 
Столкнулся с проблемой утечки трафика. Firewall стоит, настроен на минимум пропускаемого трафика. Обновление Windows выключено в настройках и как сервис. Обновления прочих программ отключены и выполняются вручную.
Тем не менее за один вечер в неизвестном направлении уплыло около 50 МБ. Стал разбираться - ушло по http(80) через IE, пока сидел на сайте Symantec. IP "похитителя" 84.53.175.50. Поиск по WhoIs привел к компании Akamai Technologies - крупная интернет-компания в США, которая, как я понял, занимается хостингом (которым пользуются Microsoft, Symantec и еще очень много компаний) и ускорением работы интернет. Как работает последнее пока до конца не понял. Используется что-то наподобие прокси. Akamai передает данные общественного интернета через свои сети, предоставляя источник как можно ближе к потребителю.

Через их сети обычно происходит обновление Windows или Flash. У меня обновления, как я уже сказал, отключены. Версии по поводу подобных утечек находил разные.
Одна из них - "скрытое" обновление систем без спроса пользователя. Ну обычные "смертные" должны обломиться уже на фаерволе. Однако Windows может (а может и должен) обновляться через svchost.exe (aka Microsoft Generic Host Process for Win32 Services) - ему по умолчанию автонастройка фаервола дает добро. Всех функциональных возможностей и требований svchost я не знаю.
Другая версия связана с функцией ускорения интернета - пришедшие данные были запрошены на некотором ресурсе, но были переданы не напрямую от источника, а по сетям Akamai, т.к. так быстрее (соответствующие соглашения о параллельной передаче составлются между обладателями ресурсов и Akamai), однако по каким-то причинам (сбой?) Вам были присланы не Ваши данные, но тем не менее Вы их приняли.

В моем случае, как я понял, на сайте Symantec грузился некий компонент ActiveX (может, flash-ка). В фаерволе ActiveX отключен - флешку я бы все равно не увидел, но Akamai по-прежнему пытался мне передать контент, в надежде, что я его приму.
Вот строка из лога фаервола:
Connection: 84.53.175.50: http(80).
from XXXXX(10.0.XX.XX): 1657.
13982 bytes sent.
24345847 bytes received.
10:16.359 elapsed time.

Сейчас я просто заблокировал адреса 84.53.172.0 - 84.53.175.255. Это одна из подсетей Akamai. При выходе на сайт Symantec утечек не происходит, а сайт работает.

Тем не менее это не финал. Поиск по интернету показал, что таких случаев очень много и адреса для других ресурсов другие.
Хотелось бы узнать, решил ли кто-нибудь эту проблему на корню? Какой у вас есть опыт в этой сфере?

P.S.: Вот некоторые случаи из жизни интернета:
http://www.bogdanov.info/comments.asp?id=2105
http://forum.dobroe.ru/index.php?showtopic=31426
http://forum.qip.ru/printthread.php?t=7771
http://kent.5bb.ru/viewtopic.php?id=508

Randwer 04.01.2008 21:30

Цитата:

Сообщение от DragonMX (Сообщение 1420765)
Сейчас я просто заблокировал адреса 84.53.172.0 - 84.53.175.255. Это одна из подсетей Akamai. При выходе на сайт Symantec утечек не происходит, а сайт работает.

Что так мало:D Это не полный перечень акамайских сеток.

DragonMX 04.01.2008 23:34

Randwer
Цитата:

Что так мало Это не полный перечень акамайских сеток.
Я знаю. У них есть адреса и на 86.xx.xx.xx, и на 213.xx.xx.xx. Но я с ними лично не сталкивался (и лучше бы не сталкивался в будущем). А закрыть все - это не решение. Тогда весомый кусок интернета может стать недоступным или жутко тормозить.
Я думаю, что такой глюк происходит лишь на некоторых ресурсах или при стечении определенных обстоятельств. Неплохо было бы все эти обстоятельства выяснить и составить маунал по решению проблемы. Пока я нашел только одно разумное решение - закрывать IP при утечки на нем трафика. Но я надеюсь, что народ подтянется и появятся свежие идеи.

SpaceCow 05.01.2008 02:42

Цитата:

Сообщение от DragonMX (Сообщение 1420765)
Другая версия связана с функцией ускорения интернета - пришедшие данные были запрошены на некотором ресурсе, но были переданы не напрямую от источника, а по сетям Akamai ... однако по каким-то причинам (сбой?) Вам были присланы не Ваши данные, но тем не менее Вы их приняли.

Какая-то довольно сомнительная версия.
Цитата:

Сообщение от DragonMX (Сообщение 1420765)
В моем случае, как я понял, на сайте Symantec грузился некий компонент ActiveX (может, flash-ка). В фаерволе ActiveX отключен - флешку я бы все равно не увидел, но Akamai по-прежнему пытался мне передать контент, в надежде, что я его приму.

Я бы предположил несколько иное. В браузер загружается страница, содержащая различные объекты. Браузер посылает запросы на получение этих объектов. Объекты, как и положено, начинают поступать, вот тут-то файрвол и "вырезает" часть их своими фильтрами. Тогда действительно получается, что и трафик потрачен, и объект не отображён. Это произойдет с любым хостингом, кстати... Вывод - чтобы экономить трафик, нужно резать объекты не файрволом, а средствами самого браузера (чтобы он и не пытался загрузить).

Kraft 05.01.2008 20:10

SpaceCow Значит, файервол просто запрещает отображать уже полученную инфу, вместо запрета на ее загрузку ? Странно.

Randwer 05.01.2008 22:38

Цитата:

Сообщение от DragonMX (Сообщение 1420819)
Пока я нашел только одно разумное решение - закрывать IP при утечки на нем трафика. Но я надеюсь, что народ подтянется и появятся свежие идеи.

Если это было разовое явление,то я непонимаю твоих опасений.50 метров раз в год это не проблема.
Мне в недалёком прошлом пришлось резать акамайские сетки изза косяка наших програмистов.Они написали такой код,что при каждом обращении юзера к нашему сайту шло обращение в акамайские сети и ответ оттуда.В результате резко возрос трафик.Причём трафик зарубежный,что важно с точки зрения хостера.Именно такой трафик тарифицировался.Ничего другого как блокирование акамайских сетей тогда придумать не удалось.Но это было не 50 метров 1 раз в год для домашнего пользователя.К тому же достаточно быстро программисты пофиксили косяк и я разблокировал акамайские сети.С тех пор проблем с акамаи не было,потому я не стал бы их называть злом.Очень возможно,что на твоём компе завелась некая живность создающая паразитный трафик в сети акамаи.

DragonMX 05.01.2008 23:56

SpaceCow
Цитата:

Какая-то довольно сомнительная версия.
Это не моя версия, а найденная в процессе анализа проблемы.

Цитата:

Вывод - чтобы экономить трафик, нужно резать объекты не файрволом, а средствами самого браузера (чтобы он и не пытался загрузить).
Звучит разумно, по почему-то раньше я на флешки не жаловался - они встречаются весьма часто, а трафик у меня всегда был в норме. Кроме того за ненадобностью я просто не ставил флеш-плеер (ну какой-то там все-таки стоит по умолчанию), так что флеш 7, 8, 9 у меня работать не должна, а соответственно и загружаться тоже. Хотя не исключаю, что это мог быть не обязательно флеш (мало ли ActiveX элементов чтоли?), так что есть смысл отключить ActiveX в браузере.

Randwer
Цитата:

Если это было разовое явление,то я непонимаю твоих опасений.50 метров раз в год это не проблема.
Во-первых, я всегда стараюсь убирать причины проблем, а не отбиваться от них от случая к случаю. Сейчас утекло 50, т.к. я не долго сидел на сайте, а вдругой раз могут убежать все 300 - не могу же я через каждые 5 минут заходить на сервер статистики.
Во-вторых, проблема с утечками по сетям Akamai гораздо обширнее, чем может показаться по моему случаю. Попробуйте задать в поиске (Яндекс уже на первых страницах много по теме выдает) на фразу "AKAMAI-PA" - это стандартно выводится в описании адресов Akamai по WhoIs - этих страниц не так уж и мало - народ ищет эти адреса, так как они доставляют им проблемы. При этом почти у всех этих людей установлены антивирусы и фаерволы. И это будут только страницы про тех, кто решил углубиться в эту проблему, имел достаточно для этого времени и знаний. А сколько тех, кто промолчал об этом, кто просто не знал, что делать или вообще не заметил, что у него трафик льется рекой.

В данном случае я хотел бы выработать универсальное решение этой проблемы, чтобы в дальнейшем те, кто будет искать решение в такой же ситуации, по поиску натыкались на страницу из 3dnews-форума. Ну сколько можно на одни и те же грабли наступать, а потом пытаться велосипеды мастерить. Хотя, пока прямого решения не найдено, велосипед все равно будет, но хотя бы каркас его уже можно заложить здесь.
Ладно, че-то меня понесло уже не туда...

SpaceCow 06.01.2008 01:15

Цитата:

Сообщение от Kraft (Сообщение 1421024)
SpaceCow Значит, файервол просто запрещает отображать уже полученную инфу, вместо запрета на ее загрузку ?

Файрвол может фильтровать трафик по-разному. Если идёт блокировка по адресам (стоит запрет на URL, фрагмент url или ip-адрес), то файрвол просто не пропускает запрос браузера на этот адрес и все - тогда, разумеется, никакой трафик не идёт. Другое дело, если в файрволе работает фильтрация по типу контента (например - резать все анимированные GIF-ы размером 100x100) - тогда файрвол пропускает запрос браузера (он же не может понять по ссылке что по ней загрузится), потом смотрит что пришло в ответ и либо режет, либо нет. Но ведь чтобы понять, что грузится этот самый GIF размером 100*100, нужно начать его грузить! Вот и получается, что трафик пришёл, дошёл до файрвола и там был зарезан - но ведь он все равно израсходован.

DragonMX, у меня есть подозрение, что Akamai всего лишь хостинг, которым пользуются многие компании для размещения контента - чтобы свои каналы не перегружать. Соответственно, причину надо искать именно в самих сайтах и разбираться что именно грузится. Скорей всего - какой-то "тяжелый" элемент. Нужно его вычислить и заблокировать по изначальной ссылке или отфильтровать в браузере. Заграничные сайты сейчас стали массивные, рассчитанные на широкие каналы. Там совершенно не со зла могут некэшируемую картинку положить килобайт на 300 или подгрузить что-нибудь в фоне мегабайт на пять.

Если же идет фоновая утечка трафика или трафик уходит исходящий - тут надо разбираться с софтом. Живность, разгулявшееся автообновление чего-нибудь, кривизна в системе наконец - тут вообще не критично на Акамаи уходит или не на Акамаи. Сам факт утечки важен и блокировать надо не место назначения, а причину утечки.

DragonMX 06.01.2008 02:01

SpaceCow
Цитата:

у меня есть подозрение, что Akamai всего лишь хостинг
Ну "всего лишь" здесь будет не совсем уместно, так как это не такой хостинг, которым мы привыкли пользоваться для создания, например, личного сайта. На основе своего хостинга они строят глобальные проекты с не менее глобальными технологиями. Вот пример: http://www.hostserver.ru/hostart633.html

Цитата:

Скорей всего - какой-то "тяжелый" элемент
Что за элемент может в течение 10 минут без перезагрузки страницы закачать литые 24 мега? А утекало именно по страницам, так как утечка зарегистрирована только в те моменты, когда в браузере были открыты страницы Symantec. Да, я заблокировал тот IP и пока мне счастье и я бы радовался по этому поводу, если бы не обилие множества похожих случаев, но с другими адресами. Надо хоть что-то под этим подытожить.

Цитата:

Сам факт утечки важен и блокировать надо не место назначения, а причину утечки
Вот-вот, я и пытаюсь выяснить причину. Пока все довольно мутно.

SpaceCow 06.01.2008 15:40

Цитата:

Сообщение от DragonMX (Сообщение 1421127)
Ну "всего лишь" здесь будет не совсем уместно, так как это не такой хостинг, которым мы привыкли пользоваться для создания, например, личного сайта.

Но суть-то не меняется от этого. Клиент посылает запрос, в ответ получает контент. Какие там оптимизации происходят - нам, в общем-то, безразлично.

Цитата:

Что за элемент может в течение 10 минут без перезагрузки страницы закачать литые 24 мега?
Надо было сохранить URL, код страницы - и разбираться. Вариантов - масса. Глюк скрипта, который подгружает что-то. Скрипт ушёл в цикл и грузил что-то до тех пор, пока страница не была закрыта. Флешка. Потоковое видео. Апплет какой-нибудь.
Цитата:

...если бы не обилие множества похожих случаев, но с другими адресами. Надо хоть что-то под этим подытожить.
А под машины народ чаще попадает на дорогах, а не в лесу, к примеру - интересно, почему? ;) Так и тут - слишком многие пользуются сетями Акамаи для размещения контента, поэтому утечки трафика с их участием получили огласку. Но возникают-то они не из-за существования Акамаи на свете, а из-за недостаточного контроля за трафиком и/или различных глюков.

DragonMX 06.01.2008 21:34

SpaceCow
Цитата:

Надо было сохранить URL, код страницы - и разбираться
Да, можно сделать. Но это опять же откачивание захлебнувшегося, а не умение плавать. В остальном с тобой согласен. Просто, стараюсь думать не только за себя, но и за будущих грабленаступателей.

SpaceCow 08.01.2008 01:53

DragonMX, ну не знаю, как по мне - так по Интернету плавает браузер и у тебя зачерпнул бортом именно он. А где именно зачерпнул и чего нахлебался - не столь важно, главное отчего это произошло и что вышло из-под контроля.

А просто блокировать подсеть, куда пошла утечка - ну не знаю. Во-первых, завтра можно хлебнуть на другом сайте и из другой сети. Во-вторых, Акамаи глобальный хостер, глядишь - заблокируешь лишнего, потом что-то перестанет работать.

Причин в чем-то обвинять Акамаи (или даже предостерегать других о существовании этих сетей) я по этому случаю не вижу никаких. Так можно было и с Мастерхоста какого-нибудь качнуть лишнего.

DragonMX 08.01.2008 15:28

SpaceCow
Ну каждый решает сам. У меня прецедент был, решение я ему нашел. Кому понадобится - воспользуется. А если сюда кто-то еще отпишется по похожим случаям, то еще лучше. Ничего пока не доказано, а так, глядишь, и истину найдем :)

AlexKh 13.10.2008 19:35

вот что написано на сайте у Акамаев
Цитата:

If you use the Internet for anything - to download music or software, check the headlines, book a flight - you've probably used Akamai's services without even knowing it. We play a critical role in getting content from providers to consumers.
Работаю в техподдержке регионального провайдера, регулярно приходится выслушивать звонки с вопросами типа: "...не чего не скачивали, а трафик набежал...". При просмотре логов в большинстве случаев, в качестве источника непонятного трафика является либо Акамай, либо какой нибудь трафик связанный с вирусной активностью на компьютере клиента.

Акамайцы говорят, что они играют важную роль в доставлении трафика от поставщиков потребителям. То есть качая музыку с каких либо сайтов реально трафик может идти с их серверов. Предположим, что это так, и если это так, то спасибо им за это. Но чаще люди обращаются не с вопросом о том, что скачивали музыку с одного сайта, а скачалось все с другого адреса. Вопрос чаще всего звучит именно - "Вообще не куда не заходили, ..." или "Только проверили почту, а 200 мег трафика улетело :nunu: ".

Так что народ, если вы тут докопаетесь, до истины куда убегает трафик, респект Вам и уважуха.
А если ещё и простое решение найдется как от этого защитится девочке которая с трудом может себе представить, что такое "Панель управления"... :super:

DragonMX 13.10.2008 20:44

AlexKh
Цитата:

Так что народ, если вы тут докопаетесь, до истины куда убегает трафик
Если... Я так и не узнал причины. По моему случаю все чаще думаю, что это некоторый ActiveX был. Сейчас я на анлиме, поэтому об этой проблеме уже забыл. А тем, кто все еще на лимитированном канале, остается только пожелать не натыкаться на такие ситуации.

SpaceCow 13.10.2008 20:57

Цитата:

Сообщение от AlexKh (Сообщение 1556528)
А если ещё и простое решение найдется как от этого защитится девочке которая с трудом может себе представить, что такое "Панель управления"...

Сидеть за глухим провайдеровским NAT'ом и тогда весь посторонний входящий трафик будет разбиваться о него, не накручивая при этом счётчик. :rotate:

АсУ 14.10.2008 13:49

Цитата:

Сообщение от SpaceCow (Сообщение 1421111)
Сам факт утечки важен и блокировать надо не место назначения, а причину утечки.

:5: А что, если (хотя бы для эксперимента и подтверждения этой версии) не посчитаться со временем и трудом - форматнуть диски с нуля установить ОС и софт? :)
Цитата:

Сообщение от SpaceCow (Сообщение 1556559)
Цитата (AlexKh от 13-10-2008 18:35) »
А если ещё и простое решение найдется как от этого защитится девочке которая с трудом может себе представить, что такое "Панель управления"...
Сидеть за глухим провайдеровским NAT'ом и тогда весь посторонний входящий трафик будет разбиваться о него, не накручивая при этом счётчик.

Спасибо. Думаю процентов 80 а то и 90 и не только "девочек" будет устраивать такое решение проблемы :)


Текущее время: 18:50. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot