Огромный трафик downloads.comodo.com

Здравствуйте,

Мне очень нужно знать мнение экспертов по следующему вопросу.
Мы внашем подразделении (кафедра ЮРГТУ НПИ) пользуемся Comodo Internet Security уже несколько лет, проблем не возникало.
Но в сентябре - октябре 2013 года провайдер (другое подразделение нашей органи, вычислительный центр) предьявил нам счет на оплату просто гигантского трафика. За 2 месяца с адреса 178.255.82.1 [downloads.comodo.com] было скачано 145 Гб. Принимая во внимание тариф ~2руб/Мб, это просто огромные деньги для кафедры.

В соответствии с детализацией, 99,2% всего трафика приходится на обновления Comodo.

Мне кажется это невозможным, так как данное подключение к интернету использует всего 3 компьютера. Обновления антивирусных баз и приложения отключены. Дата последнего обновления антивирусных баз - апрель 2013г. (проактивной защиты Comodo в условиях ограничения на трафик было достаточно). Облачное сканирование - включено.

Пожалуйста, проясните для меня следующие вопросы:

1. Каков средний объем ежедневных обновлений CIS?
2. Возможна ли ситуация, в которой происходит закачка обновлений, но установка их по какой-то причине не удается? 3) Может ли это вызвать непрерывное скачивание обновлений?
3. Каков объем трафика при работе облачного сканера? Я измерила трафик, генерируемый Comodo Cloud scanner на домашнем компьютере, получилось 131Кб. При том, что с сервера downloads.comodo.com было получено всего 1Кб.
   Возможна ли ситуация, когда облачный сканер порождает большой трафик?
4. Какие еще данные может закачивать CIS при выключенных обновлениях?

Создала тикет на suport.comodo.com с просьбой, если возможно, предоставить нам логи доступа с нашего IP к 178.255.82.1. Написала письмо на эл.адрес, отображаемый в ответе Whois для этого адреса с той же просьбой. Пока молчание. Если на форуме присутствуют сотрудники Comodo, подскажите, есть ли возможность получить эти логи доступа?

Мне кровь из носа нужно доказать, что это не наш трафик. Я это вижу, потому что, во-первых, дневной трафик по детализации не соответствует данным биллинговой системы (хотя итоги совпадают), во-вторых, закачка выполнялась в том числе и ночью, в то время, когда все компьютеры, серверы и оборудование, в том числе и шлюз, выключены. В-третьих, настройки Comodo не изменялись ни до ни после инцидента, а трафик был только в сентябре и до 26 октября. Затем прекратился сам собой. И до этого ничего подобного не наблюдалось.
В ответ слышу - мы не знаем, что вы делали на своих машинах, оставляли ли их на ночь, изменяли ли настройки Comodo. Но я четко знаю, что ничего подобного не было.

Заранее спасибо за любые ответы и советы.

Это ваша тема дублируется?
Какие версии CIS ?

2) Возможна ли ситуация, в которой происходит закачка обновлений, но установка их по какой-то причине не удается?

Бывают прерывание закачки обновлений из - за сбоев на серверах. 24 сентября был новый релиз с PrivDog дополнением.( для браузеров)

во-вторых, закачка выполнялась в том числе и ночью, в то время, когда все компьютеры, серверы и оборудование, в том числе и шлюз, выключены.

???

Если на форуме присутствуют сотрудники Comodo, подскажите, есть ли возможность получить эти логи доступа?

В этом разделе все пользователи. Если просто у кого будут какие мысли?

[attachment deleted by admin]

Да, попросила друга перевести. А сюда - может кто знающий языками не владеет)
Если можно, не удаляйте дубликат. Хотя бы пару дней.

5.5.195786.1383

Спасибо. А в этом случае повторная закачка должна начинаться немедленно после сбоя, или на следующий день по расписанию? Как я понимаю, в этом случае закачка обновлений должна продолжаться до тех пор, пока база не обновится? Ведь не может быть такого, что два месяца были попытки обновления, обрывались, возобновлялись, затем Comodo надоело это дело и он перестал качать, так и не обновившись (при том, что обновления вообще отключены)?

Сбои - обрыв соединения? Или возможно что-то еще?
Не могли бы вы сказать, каков объем ежедневных обновлений? На работе сейчас обновлять не могу - как доказательство, что в сентябре-октябре обновлений не было. А дома не хочу сносить свой антивирус.
Спасибо за ответ.

А в этом случае повторная закачка должна начинаться немедленно после сбоя, или на следующий день по расписанию? Как я понимаю, в этом случае закачка обновлений должна продолжаться до тех пор, пока база не обновится?

Расписание только в 6 версиях. В 5 версиях нет расписания. У меня 5.10 стоит, Обновляется когда пополняются базы. А так переодически AV делает запросы. Если сбой, то повторит сам. Если есть то закачивает, но там мелочи. Если были откаты системы, то при большом перерыве, закачивает где то 150 мб занова. Но такое я наблюдал редко. Если долго CIS не работал, то требует сканирования и обновления баз.

Сбои - обрыв соединения? Или возможно что-то еще?

Загружены сервера. Если выходит новый релиз продукта идет сильная нагрузка, даже скорость закачки падает. Но это как вариант сбоев, есть масса причин.

Если можно, не удаляйте дубликат. Хотя бы пару дней.

При всем желании никто не удалит. :) Я так думаю, что вы говорите: Обновления отключены. Может вы имеете ввиду не тот пункт в настройках? Тот, что где- Общие? Если это так, то это только проверка автообновления программы. Если убрана отметка в пункте Обновление ( где сервер), тогда обновление отключено.

Разовое обновление баз составляет 66,26Кб. Обычно по умолчанию стоит в настройках проверять обновление самой программы один раз в день, а антивирусных баз — раз в шесть часов, так что смело можете подсчитать весь дневной трафик.
CIS 6.3

Может стоить покопать в этом направлении:
http://translate.google.com.ua/translate?hl=ru&sl=en&u=http://urlquery.net/report.php%3Fid%3D7300425&prev=/search%3Fq%3D178.255.82.1%26start%3D20%26client%3Dopera%26hs%3Dvzl%26sa%3DN%26channel%3Dsuggest%26biw%3D1280%26bih%3D858
И дата подходит

За все 2-3 месяца у меня где-то может и набегает до 1 Гб (если есть новые версии CIS) скачивание с сервера с 10 компов, и я обновляю их через локальный сервер, так что трафик учтен. Было несколько раз когда CIS 5 версии не мог скачать полностью кумулятивную базу - он после обрыва сети выкачивал ее снова, а это где-то 150 Мб в среднем. Запрос на обновление баз идет где-то раз в полчаса. Да, и облачное сканирование Вам действительно нужно при таком тарифе трафика? я его всегда отключаю.

Активность (или неактивность) компьютера за необходимый период легко проконтролировать по журналу системных событий.

natalya_malihina
При таких тарифах я бы не рекомендовал использовать CIS.
Если включен облачный анализ, то все равно идет трафик.
Какая у вас на данный момент актуальная база?
Правда у меня сейчас AV не используется. Но для информации сообщите.
Как выше рекомендовано. Посмотрите журналы. Если вы их не удаляли сами.
Правда записи могут сами удалятся и обновлятся при превышении установленного размера. Может, что там и есть?
И ещё. Я не знаю имеет ли в вашем случае DNS Comodo? Включена она у вас или нет?
Если да? То…

Огромное спасибо всем за ответы)
Сейчас буду всем отвечать и всех спрашивать, готовьтесь)

Ну, если в этом причина (нагрузка на сервера, неудачные закачки и тд), то в период со 2-го по 24 сентября все ведь должно было быть нормально?

Нет, я знаю, что обновления программы и обновления баз отключаются в разных местах) Все отключено. Настройки не менялись.
А трафик внезапно появился, а затем, внезапно прекратился.

О! А вот это можете подробнее пояснить?
Если я правильно поняла, это отчет какой-то IDS, она обнаружила 30.10.2013 числа атаку на некоего клиента urlQuery с уровнем опасности 1,
а именно попытку загрузить некий exe или dll. Правильно?
Не может ли это быть ложным срабатыванием? Ну, то есть, попытку обновления приложения CIS, эта IDS приняла по ошибке за вторжение?
Ведь комодовские dll наверняка содержат всякие плюшки, которые используются в том числе и вирусами?
Ну, там, автозагрузка, замена частей ОС, dll-инъекции, хуки, 0-е кольцо привилегий и тд?

Если это реальная атака, то как она осуществлялась? Непосредственно с комодовского сервера? Он взломан и заражен?
Или это IP Spoofing?

Я вижу в выписке много записей такого типа:

src_addr dst_addr f_time src_port dst_port protocol size
178.255.82.1 195.209.113.70 16.09.2013 2:49 80 61744 6 240146540

В три часа ночи (машины выключены) прилетело 230 Мб.
Если это атака, то в чем она заключается? Попытку вируса, заразившего мои компьютеры, загрузить что-то я отвергаю, так как все выключено.
Что тогда? Попытка переполнения буфера? Или DoS (если так, то какая-то слабенькая)?

Спасибо огромное за информацию)

А насколько большой трафик генерируется облачным сканером? Если причина в нем, то почему до этого и после этого никаких проблем с трафиком? Настройки ни какие не меняла.

Спасибо, пороюсь. Не подскажете, какое событие соответствует включению/выключению? Старт/стоп какой-то службы?

Я поэтому и отключила все обновления:) Смысл использования комодо вижу в бесплатной лицензии для организаций, фаерволе, песочнице, проактивной защите.
Одного блокирования неизвестных приложений на 90% достаточно, чтобы ни один зловред не пролез.
А облачный трафик будет, даже если сканирование не выполняется? В процессе мониторинга системы трафик тоже будет? Почему тогда 25 октября все прекратилось?

А можете пояснить, что тогда? Это ведь просто другой адрес для DNS запросов? Какой там может быть трафик? К тому же, как я понимаю,
эта технология заменила бы мой DNS на комодовский и сломала бы мне домен. Разве нет?

А облачный трафик будет, даже если сканирование не выполняется?

Да. Как бы так обьяснить. При работе с приложениями и тд. Работает модуль защиты. Неизвестные а так же ( я предпологаю и известные ) анализируются в облаке, естественно идет проверка в CIMA Comodo. Отправка файлов на анализ. Я предпологаю, что и при сканировании AV идет какая то отправка. Но такой трафик я думаю не может быть связан с облаком. Тут есть отдельные мысли в теме: Как обновляются поставщики. 1. По поводу DSN Comodo - точно его работу вам сказать не могу, так как его сам никогда не использовал. Что там мне не ведомо ;) Например при использовании в браузере. 2. По поводу загрузки и сбоев серверов. Там же не только CIS обновляется, выходят другие продукты тоже. Ну пока все. Поразмыслю, вникну в вопросы тогда дополню.

Смысл использования комодо вижу в бесплатной лицензии для организаций, фаерволе, песочнице, проактивной защите.

Почему бы вам тогда не удалить модуль AV? У вас в настройках стоит запл. сканирование? Если стоит, то при сканирование он требует обновление баз, перед сканированием. А при длительном простое, закачиват все заново. Это писали выше. Но вы говорите, что у вас все отключено ???

Ребята, посмотрите еще на прикрепленные файлы.

Откуда может взяться такое расхождение между биллингом и детализацией трафика?
До 19 сентября вообще ни один день не совпадает. 19 сентября загружено 22ГБ! а по биллингу 4.
С 19.09 по 24.10 по будням все совпадает. Расхождения только по выходным. С 25.10 снова небольшие расхождения (примерно 100-200Кб разница).

Как это возможно?
В одном случае учтены заголовки пакетов, в другом нет? Разве в этом случае погрешность в процентном соотношении не должна быть примерно одинакова?
И как объяснить 19 сентября?

И еще,
Вижу записи в выписке:
src_addr dst_addr f_time src_port dst_port protocol size
178.255.82.1 195.209.113.70 09.10.2013 13:49 80 63158 6 433713412

413 Мб в одной сессии? Если при сбоях максимальная загрузка - 150Мб (как писали выше), то получается, это данные загружаемые разными компьютерами?
Почему тогда dst_port одинаковый? Шлюз же должен для этих загрузок инициализировать закачки с разных портов, и ответы должны идти на разные порты? Иначе как NAT поймет, на какую машину этот пакет перенаправлять?

На что это все, по вашему мнению, похоже?

[attachment deleted by admin]

Ой… забыла перелогиниться)
Это все еще я в предыдущих сообщениях)

Автоматическое сканирование у меня установлено на воскресенье на 12:00. Но в это время корпус закрыт и машины выключены. Ручное сканирование делаю по необходимости, обновления при этом так же можно отключить, я отключаю). Если уж нужно обновиться, переключаюсь на другой шлюз.

У нас только CIS из комодовских продуктовю Или сторонние продукты тоже обновляются с downloads.comodo.com?
Это вроде сетка комодо, Whois говорит COMODO GROUP. Это ведь не CDN, чтобы разные приложения с него обновления тянули…
Если что не так думаю, поправьте.

сторонние продукты тоже обновляются с downloads.comodo.com?

Нет. У вас какая биллинговая система? Не спутник? Судя по тарифу 3G? Вообщем безпроводной интернет. [url=http://altegrosky.ru/data/file/VSAT/ip_support1.pdf]Это для информации.[/url]

Если честно пока никаких идей нет. Если так как вы говорите, что весь такой обьем с Comodo ???

..........провайдер (другое подразделение нашей органи, вычислительный центр)......

???

На странице биллинговой системы вижу Asmodeus.

Нет, не знаю что там точно входит в кампус, оптика или спутник. Это сеть университета. Три компьютера подключены к этой сети потому что им нужен доступ к внутривузовским ресурсам. Ну и интернет, соответственно, идет через это сединение. Тарифы сказала примерно. Может чуть меньше. Но, в любом случае, на сто с лишним тысяч счет пришел. Точной суммы сейчас не помню, да и не важно в данном контексте.

Другие компьютеры ходят в интернет через другой шлюз. Да, там 3G. Берем пакет 20Гб/месяц, хватает.

По данной ссылке прочитала, что объем заголовков не меньше 3% трафика. То есть, если в биллинге учитываются заголовки, а в выписке - нет, минимальное расхождение за день должно быть 3%. Трафик по будням с 19.09 по 24.10 совпадает до сотых долей (расхождение точно < 1%). Получается, что и там и там трафик считается одинаково. Все остальные причины так же могут увеличить оплачиваемый трафик относительно полезного. Если они не учтены в детализации, то хотя бы 1 будний день с 19.09 по 24,10 должен отличаться на несколько процентов. А этого нет. Значит все эти причины можно отбросить. И они не объясняют, каким образом в 7.09 по биллингу - 0, а по детализации - 1Гб. И 8-го, по биллингу - почти ноль, а по детализации - 3Гб. А 19-го вообще, по биллингу - 4Гб, по детализации - 22.

В биллинге, ведь должен отражаться весь оплачиваемый трафик, с учетом служебного. Он явно не может быть меньше трафика, приведенного в детализации, как бы эта детализация не считалась. Разве нет?

И они не объясняют, каким образом в 7.09 по биллингу - 0, а по детализации - 1Гб. И 8-го, по биллингу - почти ноль, а по детализации - 3Гб. А 19-го вообще, по биллингу - 4Гб, по детализации - 22.

К сожалени таких тонкостей я не знаю. Пункт 2 и 5 в статье посмотрите. Я понял, что сеть. Провайдер предьявил туда а они вам. Получается так насколько я понял. Может еще кто вам более подробно пояснит.

И они не объясняют

???

Смотрю. Пункт 2 - паразитный трафик. Ок, объем этого трафика виден по воскресеньям. 13Кб, 11Кб, ну хорошо, 360Кб.
Пункт 5 - хорошо, я согласна заплатить за паразитные 300Кб в день. Даже за 500Кб согласна:)

А не объясняют они то, что в биллинге, который должен отображать все, и заголовки и паразитный трафик (я ведь за енго должна платить), отображается 0. В то время, как детализация содержит пакеты, суммарным объемом 1Гб. Ну и 22 Гб в детализации против 4 Гб в биллинге. 18Гб нам подарили в этот день? Акция для вип клиентов?

Не обязательно. Какая скорость соединений с сервером? потеряв соединение при загрузке кумулятивной базы - через энное время (не замерял) он может закачивать ее заново. За день может выкушать столько - пока не лопнет закачается вся база. В шестой версии вроде такого не замечал. Но это опять же при включенном автообновлении. Но Вы говорите что все отключено… тогда непонятно. Чтобы ответить на вопрос нужно смотреть большую детализацию по скачиванию с downloads.comodo.com - какими объемами увеличивается этот трафик.
Ну и на вскидку - если адреса в локальной сети строго не прописаны можно на каком нить компе подменить IP компа другим, пока второй выключен и конфликта в системе не будет.

mcrain, спасибо за ответ)

Меряла, когда начала со всем этим разбираться. Прыгало от 6 до 20Мбит/с. Просчитывали. Достаточно, чтобы такие объемы качать.

Да, согласна. Но ведь это должно продолжаться, пока обновление не будет скачано и установлено? Ведь CIS-у не может это дело надоесть?
У меня сейчас даты последнего обновления баз: апрель, август 2013. Трафик прекратился 24 октября. Значит, хотябы на одной машине дата обновления должна быть не раньше 24 октября. Ведь так?

Именно. отключено все. Обновление приложения, автоматическое обновление баз, обновление баз перед сканированием.

Прикрепила файлик с трафиком с этого адреса. Отсортирован по дате/времени.

Я так понимаю, вы имеете ввиду использование нашего внешнего IP, который прописан на шлюзе, другим компьютером?
Здесь несколько но. Во-первых, IP привязан к MAC адресу. Там такая канитель была с бумажками, когда сетевая сгорела и пришлось просить привязать IP к другому MAC-у…
Во-вторых, днем это сделать нельзя. Потому что будет конфликт. Трафик был и в дневное время. Но он так же был и в ночное время. Когда наши машины выключены.

Я просто не могу найти объяснения этой ситуации, кроме как… хочу это услышать от кого-нибудь из вас:)

[attachment deleted by admin]