Протоколы Tcp

[YurkaS]

Может ли быть одновременно два соединения с одинаковым адресом и портом источника, одинаковым адресом и портом назначения, одинаковым количеством переданных байт?

Типа вот так:

Время С адреса С порта На адрес На порт Байт С интерфейса На интерфейс

04.08.2009 14:00 213.189.251.145 44697 85.202.1.46 80 4585 1 110

04.08.2009 14:00 213.189.251.145 44697 85.202.1.46 80 4585 1 110

Это из детализации провайдера. Так дублируются все записи, т.е. по две одинаковой строчки. По одной строчке нет, более двух тоже нет.

Провайдер утверждает, что это нормально, что это НетФлоу, а я считаю, что такого быть не может.

[Stitch]

кто провайдер?

[YurkaS]

кто провайдер?

Не могу сказать.

[striker]

соединения на разных сокетах ?

[Megis]

inetnum: 85.202.0.0 - 85.202.15.255

netname: V-LAN-NET

descr: JSC "V-LAN"

descr: Chelyabinsk, Russia

country: RU

 

Это в тему - кто провайдер. Такого провайдера вообще не знаю )))

Netflow — протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. А уже что отдает, собирает и считает - хрен знает.

С учетом того, что сама сессия имеет какой - то временной интервал, там скорее всего суммируют все сессии и берут время начала первой или последней.

 

В теории можно сделать одновременные соединения. На практике - это надо постараться... и очень сильно постараться. Но если ВСЕ записи такие - наводит на нехорошие мысли )

 

Можешь обратиться ко мне, если пров выставляет большие счета) Можем вместе съездить или позвонить. )

 

ЗЫ. Просто помню, был когда - то маленький, а помочь было некому.

[mishas]

Может arp spoofing?

 

Сетку кто-то снифферит. Очень похоже. Почитай описание в интернет.

[Stitch]

если поднят влан, то может быть такая фигня

[Megis]

Может arp spoofing?

 

Сетку кто-то снифферит. Очень похоже. Почитай описание в интернет.

один из портов - 80) скорее, http.

И если все записи повторяются - навряд ли кто - то спуфит.

 

если поднят влан, то может быть такая фигня

Почему? Какая разница, влан или нет?

[YurkaS]

соединения на разных сокетах ?

Не совсем понял вопроса.

 

inetnum: 85.202.0.0 - 85.202.15.255

netname: V-LAN-NET

descr: JSC "V-LAN"

descr: Chelyabinsk, Russia

country: RU

 

Это в тему - кто провайдер. Такого провайдера вообще не знаю )))

Netflow — протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. А уже что отдает, собирает и считает - хрен знает.

С учетом того, что сама сессия имеет какой - то временной интервал, там скорее всего суммируют все сессии и берут время начала первой или последней.

 

В теории можно сделать одновременные соединения. На практике - это надо постараться... и очень сильно постараться. Но если ВСЕ записи такие - наводит на нехорошие мысли )

 

Можешь обратиться ко мне, если пров выставляет большие счета) Можем вместе съездить или позвонить. )

 

ЗЫ. Просто помню, был когда - то маленький, а помочь было некому.

Все записи такие и разный трафик не только HTTP, но и SMTP, и другие.

Раньше было все нормально, но с середины прошлого месяца началось. А я только в августе вышел из отпуска.

Спасибо за помощь, я сам справлюсь Мне просто надо грамотно сформулировать почему контора не может оплатить счет, а следовательно надо понять возможна ли такая ситуация с дублированием соединений.

У меня маршрутизаторе с пакетного фильтра каждый час сбрасывается в текстовый файл статистика и обнуляются счетчики. Почасовой трафик получается в два раза меньше чем у провайдера. Но у провайдера биллинг сертифицированный, а меня нет.

Изменено 7 августа, 2009 пользователем YurkaS

[Megis]

"Сертифицированный биллинг" - это да... это крута... Взять, например, Трафик - инспектор...

Может провайдера сменить?

[YurkaS]

"Сертифицированный биллинг" - это да... это крута... Взять, например, Трафик - инспектор...

Может провайдера сменить?

В данном случае биллинг это не только программа по подсчету, это целый комплекс состоящий из аппаратной и программной частей. И у любого провайдера вот этот комплекс должен быть сертифицирован. Иначе в случае разногласий юридической силы иметь не будет. А Трафик инспектор - это всего лишь считалка для домашнего использования.

 

Месяц прошел, услуги оказаны, за них надо платить, поэтому смена провайдера не решит проблему. Как раз для решения проблемы и надо как-то обосновать, что одновременно по два одинаковых соединения быть не может.

[Oberon]

можно конечно попробовать толкать идеи какие угодно, но чтобы при этих совпадениях еще и совпадали размеры пакетов, причем с точностью до копейки и постоянно .... Стругатские отдыхают ... Изменено 7 августа, 2009 пользователем Oberon

[Megis]

Хотелось - бы от L-Temin услышать, как такое возможно при виланах.

[xAL]

Ну, давайте подумаем о следующем: как компьютер-получатель (П) и компьютер-источник (И) могут различать в этих случаях какой пкает к какому соединению относится? Ведь если они не могут различить где 1-е а где 2-е соединение, то вместо картинки на КК загрузится какая-ниубдь другая вещица, в общем, путаница будет большая.

 

Что у нас есть из идентификационных данных с получателем и источником? Физический уровень не смотрим - оно для свитчей и сетевых карт больше, чем для приложений. Дальше есть IP 2 штуки, порт 2 штуки. А они все совпадают попарно. О каком нормальном трафике тут может идти речь?

 

Отсюда вывод: это может быть только по ошибке. Ошибка может быть либо у провайдера, либо у тебя.

 

1. У тебя может быть источником проблем биллинг, маршрутизатор, свитч с настроенными вланами или еще чем, что может дать резуьтат двойной посылки запросов, и, соответственно, двойным получения ответов. Т.к., твой биллинг не замечает удвоения, то это либо на его уровне, либо за ним.

 

Это можно легко проверить. А. Поставить простейший веб-сервер за пределами твоей сети, лучше у другого провайдера, Б. Сделать к нему запрос из браузера, В. Посмотреть логи. Если в логах 2 обращения - проблема у тебя на 90%. Оставшиеся 10% - проблема в конфигурации на стороне провайдера, определиться тут поможет сниффер между твоим граничным маршрутизатором и провайдерским.

 

Могу помочь с поднятием веб-сервера и просмотром логов.

 

2. Проблема в биллинге провайдера. Но тут уже все расписали.

[YurkaS]

Всем спасибо! Значит действительно такого быть не может, уже есть кое-какие мысли. Главное, чтобы до судебных разбирательств не дошло

У меня роутер на базе компа с FreeBSD подключен к коммутатору провайдера. Коммутатор подключен к медиа-конвертеру, а дальше оптика к провайдеру. Внешний интерфейс на роутере имеет реальный адрес, поэтому никаких вланов и пр. не используется. Биллинга тоже никакого у меня нет, только статистика на проксе, вот только недавно сделал, чтобы раз в час сохранялись данные счетчиков пакетного фильтра, а потом счетчики обнулялись. Так вот мои счетчики показывают в два раза меньше, чем у провайдера, следовательно роутер получает данные один раз. Иначе бы пакетный фильтр показывал бы, что принято в два раза больше при этом 50% отброшено.

Сейчас попробую дома поднять веб-сервер и посмотреть его логи. В понедельник уже на работе попробую воткнуть за роутером управляемый коммутатор и посмотреть статистику на нем.