Today I woke up very tired, hell, how did I miss the sun. And summer is just after 7 fucking month (

Мокрое

Забавный перл от Елены, услышанный в бассейне - "Больше чем утонуть, я боялась порезать палец и не стала тормозить."

В процессе обсуждения рабочих вопросов с коллегой по-цеху, случайно затронули тему компьютерных игр, дошли до Counter-Strike, следующие строки меня очень порадовали:

mai-ИлимТелеком:
вот и мой муж играет...и я не могу до него иногда дозвониться(((
но!!!
я когда психую, просто отрубаю ему инет и он тогда слышит меня))))

Такое оно наше лето

Мне нужна лошадиная порция таблеток от душевной боли и мук, как на зло под рукой ничго нет. У меня ни как не получается не пускать это глубоко в себя.

kindle'овое

Натолкнулся на странную особенность kindle'а, при первых попытках подключится к домашней wifi-точке с wep шифрованием, с наличием на которой уже нескольких подключенных устройств, kindle сообщает о невозможности подключиться. Решил попробовать глубокой ночью, когда остальные устройства отключены, kindle подключился без проблем. Утром установить соединение с wifi-точкой опять не удалось. Погрешил на DHCP лизинг, после биндинга mac->ip в настройках DHCP, kindle отрапортовал о удачном подключении. Вот такие вот пироги!

nginx + uwsgi + django

nginx.conf
        location / {
                uwsgi_pass              unix:///tmp/uwsgi.sock;
                include                 uwsgi_params;

                uwsgi_param             UWSGI_SCRIPT            webapp;
                uwsgi_param             UWSGI_CHDIR             /usr/local/www/aspirantus;
        }

        location /crop4me {
                uwsgi_pass              unix:///tmp/uwsgi.sock;
                include                 uwsgi_params;

                uwsgi_param             SCRIPT_NAME             /crop4me;
                uwsgi_param             UWSGI_SCRIPT            webapp;
                uwsgi_param             UWSGI_CHDIR             /usr/local/www/crop4me;

        }

webapp.xml 
<uwsgi>
        <socket>/tmp/uwsgi.sock</socket>
        <process>1</process>

        <master/>
        <enable-threads/>

        <uid>80</uid>
        <gid>80</gid>

        <pidfile>/var/run/uwsgi.pid</pidfile>
</uwsgi>

# uwsgi -s /tmp/uwsgi.sock -x /usr/local/www/webapp.xml

http://projects.unbit.it/uwsgi/wiki/Doc
http://projects.unbit.it/uwsgi/wiki/Example
http://projects.unbit.it/uwsgi/wiki/Emperor

Дожили

Пришло тут в рассылочку по FreeBSD вот такое вот письмо:

Hello.

Some time ago I faced with a problem booting with 400GB physmem.
The problem is that vm.max_proc_mmap type overflows with
such high value, and that results in a broken mmap() syscall.
The max_proc_mmap value is a signed int and roughly calculated
at vmmapentry_rsrc_init() as u_long vm_kmem_size quotient:
vm_kmem_size / sizeof(struct vm_map_entry) / 100.

Although at the time it was introduced at svn r57263 the value
was quite low (f.e. the related commit log stands:
"The value defaults to around 9000 for a 128MB machine."),
the problem is observed on amd64 where KVA space after
r212784 is factually bound to the only physical memory size.

With INT_MAX here is 0x7fffffff, and sizeof(struct vm_map_entry)
is 120, it's enough to have sligthly less than 256GB to be able
to reproduce the problem.

I rewrote vmmapentry_rsrc_init() to set large enough limit for
max_proc_mmap just to protect from integer type overflow.
As it's also possible to live tune this value, I also added a
simple anti-shoot constraint to its sysctl handler.
I'm not sure though if it's worth to commit the second part.

As this patch may cause some bikeshedding,
I'd like to hear your comments before I will commit it.

http://plukky.net/~pluknet/patches/max_proc_mmap.diff

Реально зарегистрированный разговор между испанцами и американцами на частоте "Экстремальные ситуации в море" навигационного канала 106 в проливе Финистерра (Галиция). 16 Октября 1997 г.

Испанцы: (помехи на заднем фоне) ... говорит А-853, пожалуйста, поверните на 15 градусов на юг, во избежание столкновения с нами. Вы движетесь прямо на нас, расстояние 25 морских миль.
Американцы: (помехи на заднем фоне) ...советуем вам повернуть на 15 градусов на север, чтобы избежать столкновения с нами.
Испанцы: Ответ отрицательный. Повторяем, поверните на 15 градусов на юг во избежание столкновения.
Американцы (другой голос): С вами говорит капитан корабля Соединенных Штатов Америки. Поверните на 15 градусов на север во избежание столкновения.
Испанцы: Мы не считаем ваше предложение ни возможным, ни адекватным, советуем вам повернуть на 15 градусов на юг, чтобы не врезаться в нас.
Американцы (на повышенных тонах): С ВАМИ ГОВОРИТ КАПИТАН РИЧАРД ДЖЕЙМС ХОВАРД, КОМАНДУЮЩИЙ АВИАНОСЦА USS LINCOLN, ВОЕННО-МОРСКОГО ФЛОТА СОЕДИНЕННЫХ ШТАТОВ АМЕРИКИ, ВТОРОГО ПО ВЕЛИЧИНЕ ВОЕННОГО КОРАБЛЯ АМЕРИКАНСКОГО ФЛОТА. НАС СОПРОВОЖДАЮТ 2 КРЕЙСЕРА, 6 ИСТРЕБИТЕЛЕЙ, 4 ПОДВОДНЫЕ ЛОДКИ И МНОГОЧИСЛЕННЫЕ КОРАБЛИ ПОДДЕРЖКИ. Я ВАМ НЕ "СОВЕТУЮ", Я "ПРИКАЗЫВАЮ" ИЗМЕНИТЬ ВАШ КУРС НА 15 ГРАДУСОВ НА СЕВЕР. В ПРОТИВНОМ СЛУЧАЕ МЫ БУДЕМ ВЫНУЖДЕНЫ ПРИНЯТЬ НЕОБХОДИМЫЕ МЕРЫ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ НАШЕГО КОРАБЛЯ. ПОЖАЛУЙСТА, НЕМЕДЛЕННО УБЕРИТЕСЬ С НАШЕГО КУРСА!!!!
Испанцы: С вами говорит Хуан Мануэль Салас Алкантара. Нас 2 человек. Нас сопровождают наш пес, ужин, 2 бутылки пива и канарейка, которая сейчас спит. Нас поддерживают радиостанция "Cadena Dial de La Coruna" и канал 106 "Экстремальные ситуации в море". Мы не собираемся никуда сворачивать, учитывая, что мы находимся на суше и являемся маяком А-853 пролива Финистерра Галицийского побережья Испании. Мы не имеем ни малейшего понятия, какое место по величине мы занимаем среди испанских маяков. Можете принять все ***ные меры, какие вы считаете необходимыми и сделать все что угодно для обеспечения безопасности вашего ***го корабля, который разобьется вдребезги об скалы. Поэтому еще раз настоятельно рекомендуем вам сделать наиболее осмысленную вещь: изменить ваш курс на 15 градусов на юг во избежания столкновения.

услуги связи на 13 т.р.

Началось все это в конце рабочего дня, была небольшая пьянка по поводу подтверждения защиты диссертации одного из сотрудников отдела. В это время коммерческий директор принес счет за услуги связи предоставляемые ООО "Эквант" с суммой аж в 13 т.р. Канал предоставляемый эквантом использовался исключительно как резервный и последние месяцы им никто не пользовался, о чем свидетельствовал sams прикрученный к squid'у. На институт, приходил блок адресов 194.84.2.200-207, который и по сей день записан на нас, спустя месяц с разрыва договора.

На сервере кроме squid'а стоял web-сервер apache и db-сервер mysql для работы с системой статистики sams. А так же сервер использовался как вторичный dns-сервер, выполняя роли slave по отношению к master dns-серверу.

Посмотрев в счет, похмурив бровки стали разбираться. netstat -inbt показала быстро растущий счетчик пакетов на внешнем интерфейсе, tcpdump показал постоянный поток паразитного и аномального dns-трафика идущего из сетей принадлежащих компании РОСПРИНТ, они же Эквант.

14:52:51.626055 IP 194.84.3.42.38487 > 194.84.2.202.53:  4703+ A? p4.yokacdn.com. (32)
14:52:51.651634 IP 194.84.2.198.35188 > 194.84.2.202.53:  4703+ A? yx.ccjoy.com. (30)
14:52:51.656335 IP 194.84.2.202.53 > 194.84.2.198.35188:  4703 ServFail 0/0/0 (30)
14:52:51.676069 IP 194.84.2.138.39660 > 194.84.2.202.53:  4703+ A? m7.9355.com. (29)
14:52:51.699412 IP 194.84.2.237.41467 > 194.84.2.202.53:  4703+ A? cdnpatch.kxstar.com. (37)
14:52:51.745976 IP 195.206.40.177.51360 > 194.84.2.202.53:  54445 A? crop4.me. (26)
14:52:51.770675 IP 194.84.2.188.35479 > 194.84.2.202.53:  4703+ A? www.go9939.com.cn. (35)
14:52:51.842431 IP 194.84.2.207.40954 > 194.84.2.202.53:  4703+ A? bdp2.yokacdn.com. (34)
14:52:51.947121 IP 194.84.2.105.33150 > 194.84.2.202.53:  4703+ A? bdj1.yokacdn.com. (34)
14:52:52.046178 IP 194.84.2.245.37416 > 194.84.2.202.53:  4703+ A? bdp1.yokacdn.com. (34)
14:52:52.115195 IP 119.63.198.25.58728 > 194.84.2.202.53:  61980 A? blog.golodnyj.ru. (34)
14:52:52.581777 IP 80.82.162.118.32773 > 194.84.2.202.53:  18705 A? crop4.me. (26)
14:52:52.647366 IP 194.84.2.208.38529 > 194.84.2.202.53:  4703+ A? abc.36578.com. (31)
14:52:52.667230 IP 194.84.2.145.37089 > 194.84.2.202.53:  4703+ A? bds1.yokacdn.com. (34)
14:52:52.692022 IP 194.84.2.153.41441 > 194.84.2.202.53:  4703+ A? gamekx.tiancity.com. (37)
14:52:52.790870 IP 194.84.2.204.37489 > 194.84.2.202.53:  4703+ A? popkart.tiancity.com. (38)
14:52:52.846063 IP 194.84.2.109.35601 > 194.84.2.202.53:  4703+ A? 36578.9939.com. (32)

Подампили трафик, почасали репку и опять подампили трафик. После этого запретили ответы на пакеты пришедшие на закрытые порты и закрыли подсети генерирующие паразитный трафик. Естественно эффект от этого был минимальный.

Найдя контакты менеджера работающего с нами, начали выяснять причину проблему и просить детализацию счета. Менеджер попросила оформить заявку на детализацию в виде письма, а так же обрисовать проблему уже в письме.

Тема:  Эквант
Дата:  Fri, 12 Nov 2010 07:57:42 +0100
От:    irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru

Александр, добрый день!
Ниже мои контакты и единый номер отдела поддержки клиентов
Детлизацию запросила
Завтра надеюсь вам отправить
А проверяли ли вы вашу сеть перед  звонком на вирусы?
Так же я вижу у вас довольно высокий тариф на Интернет 
Могу предложить вам рассмотреть 1 мб с 10 ггб включенного трафика за 3560 руб в месяц
Цена 1 мб свыше- 56 коп
 
Best regards,
 
Irina K
Sales Manager
Orange Business Services (Khabarovsk office)
Tel 8 800 500 50 50 
rus-telesales@orange-ftgroup.com
RVPN 2754/2733
www.orange-business.ru 

В процессе переговоров менеджер попросила написать в их службу тех поддержки и уже им обрисовать сложившуюся ситуацию.

Тема:  RE: Эквант
Дата:  Sat, 13 Nov 2010 07:05:19 +0100
От:    irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru 

Александр, добрый день!
Вот детальник за октябрь

И ниже прилагалась детализация трафика. Выглядела она примерно так:

PLAN_NAME";"PERIOD";"SPEED";"VAL";"UTLZ";"BYTES";"TR_TYPE";
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:00:10 - 01.10.2010 00:05:07";"131072";"5716.942761";"34.893449";"1697932.00002";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:05:07 - 01.10.2010 00:10:09";"131072";"6081.443709";"37.118187";"1836596.00012";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:10:09 - 01.10.2010 00:15:10";"131072";"5959.445183";"36.373567";"1793793.00008";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:15:10 - 01.10.2010 00:20:09";"131072";"6231.989967";"38.037048";"1863365.00013";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:20:09 - 01.10.2010 00:25:09";"131072";"6257.066667";"38.190104";"1877120.0001";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:25:09 - 01.10.2010 00:30:10";"131072";"5525.581395";"33.725472";"1663199.9999";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:30:10 - 01.10.2010 00:35:10";"131072";"5776.886667";"35.259318";"1733066.0001";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:35:10 - 01.10.2010 00:40:09";"131072";"6020.789298";"36.747982";"1800216.0001";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:40:09 - 01.10.2010 00:45:11";"131072";"6155.837748";"37.572252";"1859062.9999";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:45:11 - 01.10.2010 00:50:09";"131072";"6221.003356";"37.969991";"1853859.00009";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:50:09 - 01.10.2010 00:55:10";"131072";"6364.568106";"38.846241";"1915734.99991";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:55:10 - 01.10.2010 01:00:11";"131072";"6188.647841";"37.772509";"1862783.00014";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 01:00:11 - 01.10.2010 01:05:08";"131072";"6316.043771";"38.550072";"1875864.99999";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 01:05:08 - 01.10.2010 01:10:09";"131072";"6206.166113";"37.879432";"1868056.00001";"I"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 01:10:09 - 01.10.2010 01:15:11";"131072";"6117.539735";"37.338499";"1847496.99997";"I"

...

"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:00:02 - 01.10.2010 00:05:02";"131072";"2200.123333";"13.428487";"660036.9999";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:05:02 - 01.10.2010 00:10:02";"131072";"2520.993333";"15.386922";"756297.9999";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:10:02 - 01.10.2010 00:15:04";"131072";"2352.718543";"14.359854";"710520.99999";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:15:04 - 01.10.2010 00:20:02";"131072";"2619.654362";"15.989101";"780656.99988";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:20:02 - 01.10.2010 00:25:02";"131072";"2815.54";"17.184692";"844662";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:25:02 - 01.10.2010 00:30:03";"131072";"2325.916944";"14.19627";"700101.00014";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:30:03 - 01.10.2010 00:35:02";"131072";"2420.130435";"14.771304";"723619.00007";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:35:02 - 01.10.2010 00:40:02";"131072";"2544.57";"15.530823";"763371";"O"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"01.10.2010 00:40:02 - 01.10.2010 00:45:03";"131072";"2538.186047";"15.491858";"763994.00015";"O"

...

"Institute Energy Systems,IrkutskBC (05.07.06) ---";"Total";"131072";"";"35.83";"15778036615.00678";"i"
"Institute Energy Systems,IrkutskBC (05.07.06) ---";"Total";"131072";"";"18.89";"8354635462.97819";"o"

Действительно, трафика набежало на ~13 т.р. Далее было написано письмо в отдел технической поддержки:

Тема:     ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:     Sat, 13 Nov 2010 15:16:31 +0800
От:       admin@isem.sei.irk.ru
Кому:     hd.nsk@orange-ftgroup.ru, irina.k@orange-ftgroup.com

Добрый день.

Нашему институту ИСЭМ СО РАН, номер договора IR0010**, за октябрь месяц 
вашей компанией был выставлен счет за услуги связи на 13 т.р., хотя счет 
за предыдущие месяцы не превышал 3 т.р.

В связи с этим нами была запрошена детализация трафика у вашей компании. 
В результате анализа полученной детализации, а также анализа входящего 
трафика на наш сервер (ip-адрес 194.84.2.202) нами было установлено, что 
с подсетей 194.84.2/24 и 194.84.3/24 принадлежащих вашей компании 
(РОСПРИНТ) идут массовые dns - запросы, которые генерируют данный 
входящий трафик.

Убедительная просьба разобраться в данной ситуации. Детализация трафика 
и дампы входящего трафика прилагаются

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Sat, 13 Nov 2010 08:24:36 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru 

Отлично написано
Будем разбираться, конечно
Если что -сделаем перерасчет по факту разбирательства 

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Sat, 13 Nov 2010 10:09:01 +0100
От:  natalya.d@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru
Копия:  hd.nsk@orange-ftgroup.ru
 
Добрый день!
 
По Вашему обращению открыт ТТ 552969.

Просьба сообщить, на адресе 194.84.2.202 стоит ДНС-сервер?
А также оставьте контактный телефон для связи. 
 
 
C уважением,
Наталья Д
Специалист сектора поддержки пользователей/Новосибирск

T.  +7 (383) 210 60 01 доб. 5276  
natalya.d@orange-ftgroup.ru
Orange Business Services в России и СНГ
Россия, 630099, Новосибирск, Ленина,5
www.orange-business.ru

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Mon, 15 Nov 2010 12:49:34 +0800
От:  admin@isem.sei.irk.ru
Кому:  natalya.d@orange-ftgroup.com

Добрый день.

Да, по адресу 194.84.2.202 находится dns-сервер (slave):

# dig sei.irk.ru ns
...
equant.sei.irk.ru.    3600    IN    A    194.84.2.202
...
sei.irk.ru.               3600    IN    NS    equant.sei.irk.ru.

В данный момент сервер выключен, а так же в файрволле заблокированы 
подсети 194.84.2/24 и 194.84.3/24. Хочу обратить ваше внимание на 
несколько аномальное содержимое приходящих dns-запросов (с подсетей 
194.84.2/24 и 194.84.3/24), у все запросов поле ID идентично - 4703+

Контакты:
 Петровский Александр
 +7 914 8 820 *** (сотовый)

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Tue, 16 Nov 2010 03:53:11 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru

Александр, добрый день!
Ответли ли вам кто-нибудь по нашей проблеме? 

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Tue, 16 Nov 2010 11:42:57 +0800
От:  admin@isem.sei.irk.ru
Кому:  irina.k@orange-ftgroup.com

Добрый день, Ирина!

Да, открыт тикет с номером - ТТ 552969. С адреса 
natalya.d@orange-ftgroup.com (13 ноября) приходил запрос уточнение 
настроек нашего сервера - отослали всю необходимую информацию. Ждем.

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Thu, 18 Nov 2010 14:43:27 +0800
От:  admin@isem.sei.irk.ru
Кому:  natalya.d@orange-ftgroup.com

Наталья, добрый день.

По нашему обращению была открыта заявка ТТ 552969. Как обстоят дела с 
обработкой этой заявки? Удалось ли что-нибудь выяснить? Мы обеспокоены, 
поскольку срок оплаты счета 21010IR001*** истекает 30 ноября. Хотелось 
бы знать, сделают ли нам пересчет трафика?

16 ноября нами был изменён адрес DNS-сервера с 194.84.2.202 на 
194.84.2.203, после этого поток DNS-запросов прекратился. Поток трафика 
нормализовался. Возможно это поможет вам в решении проблемы.

Ждем вашего ответа в ближайшее время. 

----------------------------------------------------------------------------------------------

Тема:  по заявке ТТ 552969 ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Thu, 18 Nov 2010 08:24:28 +0100
От:  alexander.p@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru
Копия:  hd.nsk@orange-ftgroup.ru 

Здравствуйте

Вот ответ нашего специалиста:

>Коллеги, у клиента остался нормальный дамп трафика(бинарный файл собранный tcpdum либо wireshark ) ?
>Что выступало в роли dns сервера?

>Пока не вижу проблем в том что на данный сервер лился  этот трафик, тк на сервере, судя по текстовому "дампу" разрешена рекурсия с данных адресов.

>14:53:46.261397 IP 194.84.3.10.36111 > 194.84.2.202.53:  4703+ A? sg.molihe.com. (31)

>4703 - ID запроса , + разрешение рекурсии.

>Тут странное другое - то что запросы шли в основном с ресурсов клиентов ( PA блоков адресов ) которые не маршрутизируются ( покрайней мере на данный момент), скорее всего это вирусы либо боты.

>Нужен ответ от клиента - есть ли нормальный дамп и есть ли его возможность собрать заново  и что выступает dns и было бы замечательно получить его конфиг.


Просьба ответить на заданные вопросы и, если возможно, выслать конфиг.

С уважением,


П Александр
специалист сектора  технической поддержки пользователей 
T. +7 (383) 2 106 001  
alexander.p@orange-ftgroup.com
Orange Business Services в России и СНГ
Россия, 630099, Новосибирск, Ленина,5
www.orange-business.ru 

----------------------------------------------------------------------------------------------

Тема:  Re: по заявке ТТ 552969 ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Thu, 18 Nov 2010 16:16:39 +0800
От:  admin@isem.sei.irk.ru
Кому:  alexander.p@orange-ftgroup.com


18.11.2010 15:24, alexander.p@orange-ftgroup.com пишет:
>
> Здравствуйте
>
> Вот ответ нашего специалиста:
>
> Коллеги, у клиента остался нормальный дамп трафика(бинарный файл собранный tcpdum либо wireshark ) ?
Бинарный и текстовый дамп трафика в прикреплении.
>
> Что выступало в роли dns сервера?
Bind
>
> Пока не вижу проблем в том что на данный сервер лился  этот трафик, тк на сервере, судя по текстовому "дампу" разрешена рекурсия с данных адресов.
Вас не смущает что все запросы шли (идут до сих пор) только из ваших подсетей с одним и тем же ID?
>
> 14:53:46.261397 IP 194.84.3.10.36111 > 194.84.2.202.53:  4703+ A? sg.molihe.com. (31)
>
> 4703 - ID запроса , + разрешение рекурсии.
Что означает ID, мы знаем, спасибо! Да, рекурсивные запросы были разрешены.
>
> Тут странное другое - то что запросы шли в основном с ресурсов клиентов ( PA блоков адресов ) которые не маршрутизируются ( покрайней мере на данный момент), скорее всего это вирусы либо боты.
>
> Нужен ответ от клиента - есть ли нормальный дамп и есть ли его возможность собрать заново  и что выступает dns и было бы замечательно получить его конфиг.
>
> Просьба ответить на заданные вопросы и, если возможно, выслать конфиг.

Конфиг bind'а в прикреплении. *(а так же дамп)

В данный момент, ip-адрес изменен на 194.84.2.203, дамп трафика делался на ip-адресе 194.84.2.202.

----------------------------------------------------------------------------------------------

Тема:  Re: по заявке ТТ 552969 ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Mon, 22 Nov 2010 13:24:56 +0800
От:  admin@isem.sei.irk.ru
Кому:  alexander.p@orange-ftgroup.com

Добрый день!

Удалось ли решить проблему с потоком DNS-трафика по нашей заявке (ТТ 
552969)? Что сказали ваши специалисты, проанализировав отправленные нами 
данные? До истечения срока по оплате счета осталось 10 дней, пожалуйста 
поторопитесь.

С нетерпением ждем вашего ответа.

В течении всего этого времени, несколько раз звонил в отдел технической поддержки и меня уверяли что вот-вот, разбираются, сегодня перезвонят и дадут ответ. В конце концов терпение у нас кончилось и мы решили разорвать с ними договор.

Тема:     Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:     Wed, 01 Dec 2010 13:38:10 +0800
От:       admin@isem.sei.irk.ru
Кому:     irina.k@orange-ftgroup.com

Здравствуйте, Ирина.

После нашего обращения, служба вашей технической поддержки работала по 
нашей заявке ТТ 552969 три недели, в течение которых мы так и не 
получили вразумительного ответа на наши вопросы, несмотря на постоянные 
звонки и письма в отдел технической поддержки.

В связи с этим, мы хотим расторгнуть договор в одностороннем прядке. Мы 
подготовили письмо о расторжении договора. Просим вас сообщить номер 
факса и на чье имя нужно отправить данное письмо.

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 06:46:35 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru

Александр, добрый день!
Скажите, пожалуйста, на последнее письмо была ли реакция? 
Позвольте мне эскалировать данную проблему руководству 
Мы очень ценим наших клиентов
Буквально нужен 1 день для меня

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 06:52:30 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru

Александр,
Я эскалировала проблему руководству

Мы будем разбираться в причинах молчания нашей технической поддержки

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 07:04:40 +0100
От:  pavel.y@orange-ftgroup.com
Кому:  K Irina SCE/SM EM MKTS irina.k@orange-ftgroup.com 
Копия:  KOVALENKO Svetlana SCE/SM EM MKTS svetlana.kovalenko@orange-ftgroup.com, admin@isem.sei.irk.ru 

Добрый день, Ирина!
Клиенту нужно сделать перерасчет. Заключение спецов ниже. Клиенту так же необходимо корректно настроить свой сервер, т.к не исключено, что подобные проблемы могут повториться и с новым ip у клиента, на его DNS.

>Коллеги, судя по представленным дампам и конфигу от клиента видно, что на сервер клиента шел невалидный трафик от вирусов/ботов из сетей наших клиентов, и так как в настройках конфигурации dns сервера была разрешена рекурсия для всех адресов, то сервер и успешно обрабатывал все запросы которые на него сыпались.
>Я не вкурсе есть ли в договорах клиентов понятие о валидности направляемого им трафика и что у клиента  в договоре относительно этого описано, но тут явно видно что данный трафик был невалидным и не запрашиваемым клиентом, но и сам клиент виноват, что не настроил данным образом свой сервер ( иначе бы данного трафика и небыло бы )
>Я считаю, если объемы трафика не сильно высоки, и тк как трафик в основном генерировался с наших сетей, то клиенту стоит исключить невалидный трафик из его оплаты.

>C Уважением,
>Юрьев П
>Начальник сектора поддержки пользователей/Новосибирск

>T.   +7 (383) 210 60 01 доб. 5274 
>M.  +7 (913) 753 2967
>pavel.y@orange-ftgroup.com
>Orange Business Services в России и СНГ
>Россия, 630099, Новосибирск, Ленина,5
>www.orange-business.ru

-----Original Message-----
From: KRIVORUCHKO Irina SCE/SM EM MKTS
Sent: Wednesday, December 01, 2010 11:50 AM
To: Y Pavel SCE/SM EM MKTS; 'rus-support@list2.orange-ftgroup.com'
Cc: KOVALENKO Svetlana SCE/SM EM MKTS
Subject: FW: ИСЭМ СО РАН (Иркутск), детализация трафика.
Importance: High

Коллеги,

Срочно прошу сообщить статус решения вопроса по кейсу 552969
Клиент расторгает договор из-за нашего бездействия

Прошу вас сегодня связаться с клиентом и предотвратить последствие подобной работы
спасибо 

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 07:06:44 +0100
От:  irina.k@orange-ftgroup.com
Кому:  Y Pavel SCE/SM EM MKTS pavel.yuryev@orange-ftgroup.com
Копия:  KOVALENKO Svetlana SCE/SM EM MKTS svetlana.kovalenko@orange-ftgroup.com, admin@isem.sei.irk.ru


Павел, а было ли это донесено до клиента и меня?((
как ему корректно настроить днс сервис
нужно срочно связываться с клиентом
мне кроме того нужна статистика и подтверждение от вас для передачи в биллинг

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 07:09:03 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru

Александр,

Мы признали трафик не валидным и будем делать перерасчет в счете за декабрь
Я попросила начальника службы поддержки дать вам рекомендации по настройке сервера DNS 
Так же отправляю всю необходимую инфо в биллинг

Приношу свои извинения за доставленные неудобства и надеюсь, что сей досадный факт не отразится на нашем дальнейшем сотрудничестве

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 01 Dec 2010 14:29:52 +0800
От:  admin@isem.sei.irk.ru
Кому:  irina.k@orange-ftgroup.com

> Мы признали трафик не валидным и будем делать перерасчет в счете за декабрь
Ирина, благодарим вас за оперативную реакцию по нашей проблеме. Возможно 
вы имели в виду перерасчет трафика за октябрь и половину ноября?

> Я попросила начальника службы поддержки дать вам рекомендации по настройке сервера DNS
Суть в том, что подобная настройка нашего DNS сервера была произведена 
нами осознанно. Единственное, мы не могли предусмотреть, что с ваших 
подсетей пойдет неуправляемый трафик.

Руководство нашего института настаивает на разрыве договора в приказном 
порядке, все же просим вас сообщить номер факса и на чье имя нужно 
отправить письмо о прекращении действия договора.

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 07:36:46 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru 

Александр,

Наш факс 7833** код города 4212
Просто на ООО Эквант
Но может быть руководству стоит показать, что мы сделаем перерасчет
Не совсем понятна такая категоричность....

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 07:45:18 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru


Александр,

Все таки настройки сервера на вашей зоне ответвенности и он не должен был при верной настройке принимать атаки с айпишников наших клиентов....конечно двоякая ситуация и очень жаль, что так вышло

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 01 Dec 2010 14:52:18 +0800
От:  admin@isem.sei.irk.ru
Кому:  irina.k@orange-ftgroup.com

Ирина,

Нам тоже жаль что сложилась такая ситуация, ждем от вас перерасчет за 
октябрь и половину ноября.

----------------------------------------------------------------------------------------------

Тема:  RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 1 Dec 2010 07:59:56 +0100
От:  irina.k@orange-ftgroup.com
Кому:  admin@isem.sei.irk.ru

Александр,

Вы оплатили счет за октябрь?
За ноябрь счетов не было

Перерасчет при расторжении будет сделать проблематично, единственное нужно будет стараться перевыставлять вам счета
А почему половину ноября?
Все таки вы признаете, что настройки сервера ваша была ответвенность?
Вы что то исправили в них?

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Wed, 01 Dec 2010 15:06:31 +0800
От:  admin@isem.sei.irk.ru
Кому:  irina.k@orange-ftgroup.com

01.12.2010 14:59, irina.k@orange-ftgroup.com пишет:
> Александр,
>
> Вы оплатили счет за октябрь?    
Счет за октябрь был сегодня отдан на отплату, но после того как вы 
сказали что готовы сделать перерасчет, счет был отозван.

> За ноябрь счетов не было
Половину ноября, а точнее с 1 по 12 или 13 ноября, на сервер продолжал 
поступать трафик, пока мы не начали разбираться и не поменяли ip-адрес. 
Поэтому и идет речь о половине ноября.

> Перерасчет при расторжении будет сделать проблематично, единственное нужно будет стараться перевыставлять вам счета
> А почему половину ноября?   
Ирина, если вы сделаете нам перерасчет, мы будем вам признательны, если 
нет, то мы оплатим счет за октябрь и ноябрь(по факту его получения). На 
расторжение нашего договора это никак не повлияет.

> Все таки вы признаете, что настройки сервера ваша была ответвенность?
> Вы что то исправили в них?
Дело не в том, что мы признаем или нет, настройка нашего DNS была одним 
из вполне законных use case'ов его использования и не противоречила 
никаким из норм и принципов работы DNS. Из всех исправлений, нами был 
изменен лишь внешний ip-адрес сервера с 194.84.2.202 на 194.84.2.203, 
после чего поток трафика прекратился. В данный момент сервер выключен и 
канал не используется.

Далее идут уточнение и формулировки причины отказа. На следующий день после отправки факса о расторжении приходит письмо - как я тогда думал апофеоз данной эпопеи...

Тема:     RE: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:     Thu, 2 Dec 2010 02:35:59 +0100
От:       irina.k@orange-ftgroup.com
Кому:     Администратор admin@isem.sei.irk.ru

Александр, доброе утро!
После разбирательства с тех службой все таки мы сводимся к тому, что настройки сервера ваша зона ответственности и к сожалению, вы не предусмотрели адекватную его защиту
Просим вас оплатить счета за октябрь и ноябрь до полного разбирательства по вопросу
Можем вашему руководителю написать официальное письмо с нашей точкой зрения

Так же согласно договора идет уведомление за 30 дней, соответственно последняя дата использования порта будет 31 декабря 2010 года

Если есть возражения, готова их принять

----------------------------------------------------------------------------------------------

Тема:  Re: ИСЭМ СО РАН (Иркутск), детализация трафика.
Дата:  Thu, 02 Dec 2010 13:39:42 +0800
От:  admin@isem.sei.irk.ru
Кому:  irina.k@orange-ftgroup.com

Здравствуйте, Ирина.
> После разбирательства с тех службой все таки мы сводимся к тому, что настройки сервера ваша зона ответственности и к сожалению, вы не предусмотрели адекватную его защиту
Крайне неприятно получать такие письма, но раз уж дело дошло до того, то:

"Коллеги, судя по представленным дампам и конфигу от клиента видно, что на сервер клиента шел невалидный трафик от вирусов/ботов из сетей наших клиентов, и так как в настройках конфигурации dns сервера была разрешена рекурсия для всех адресов, то сервер и успешно обрабатывал все запросы которые на него сыпались. Я не вкурсе есть ли в договорах клиентов понятие о валидности направляемого им трафика и что у клиента  в договоре относительно этого описано, но тут явно видно что данный трафик был невалидным и не запрашиваемым клиентом,"

"но и сам клиент виноват, что не настроил данным образом свой сервер" - настройка сугубо наша зона ответственности, с этим мы не спорим, но также это наше дело как настраивать сервер, претензии были по поводу "невалидный трафик от вирусов/ботов из сетей наших клиентов", то есть от вас! Если бы трафик шел не с ваших подсетей, то к вам мы не имели бы никаких претензий.
> Просим вас оплатить счета за октябрь и ноябрь до полного разбирательства по вопросу
Счет мы конечно оплатим, как уже и говорили ранее.

> Можем вашему руководителю написать официальное письмо с нашей точкой зрения
Нет, нет такой необходимости.

> Так же согласно договора идет уведомление за 30 дней, соответственно последняя дата использования порта будет 31 декабря 2010 года
> Если есть возражения, готова их принять

Счет был оплачен, договор разорван. Примерно через 15 дней из технического отдела ООО "Эквант" позвонили и поинтересовались, помогли ли они решить нам нашу проблему и можно ли закрывать тикет - фанфары, заневес, нафталин.

P.S. Очень жаль, что в конце разбирательства эта адекватная девушка, которая как мне кажется старалась все уладить, повела себя так не красиво, хотя хочется верить что все это одно большое недоразумение.

Эффект бабочки или "О том, как я почту поломал"

После затяжных разбирательств c ООО "Эквант", они же Orange Telecom, обвинений в неправильной настройке DNS-сервера, решил и на Primary DNS-сервере отключить разрешение на внешний резолвинг.

В named.conf были добавлены следующие строки:

acl "trusted" { 192.168.0.0/16; 84.237.22.0/27; };

options {

                    ...

                    ...

                    allow-recursion { trusted; };

                    ...

                    ...

};

Bind перечитал конфигурацию, резолвинг из разрешенных сетей проходил нормально, все другие сети посылались лесом. Совершено сие деяние, было во второй половине дня. Как выяснилось позже (примерно в 8 утра следующего дня), мои действия были поспешны и несколько опрометчивы.

Утро, приятные сны, не приятный звонок телефона. Во всем институте не работает почта. За нервные пол часа, починил почту; прийдя к выводу, что мой внешний почтовик, сидящий на адресе, 84.237.23.29 получает отлуп, при попытке отрезолвить доменные имена. Не менее нервозно удалив запрет на рекурсию и поехал на работу.

Не заметил я этого на кануне вот почему - мой почтовый адрес пропускал всю почту, согласно некоторым соглашениям и нормам эл. почты, а вот на все остальные адреса применялся так называемый callout, который проверял наличие существование электронного почтового ящика отправителя (dns-запрос - отлуп - почтовый отлуп).

Вот вам и эффект бабочки и кто тут бабочка, я или доблестные работники ООО "Эквант" я сказать затрудняюсь. Но вот осел тут точно Я.