Что русскому download, то немцу upload

Было это ещё тогда, когда интернет оплачивался по трафику. Безлимитные тарифы уже были, но скорости их на офис в сотню машин не хватало ну никак. Так вот, в какой-то момент счета за трафик выросли в полтора, а потом и во все два с половиной раза за несколько месяцев. Мы всем отделом сначала отбрыкивались от бухгалтерии, списывая на всевозможные естественные причины потребления гигабайтов: вышли новые сервис-паки на Windows, или дополнительный офис что-то выкачивал с основного, или кэш на прокси-сервере переполнился, или, в конце концов, смешной ролик на Ютюбе прошёлся по офису, или… Но в какой-то момент решили всё-таки разобраться, потому что счета стали приближаться к числу с пятью нулями.

Проверили журналы WSUS. Убедились, что все компьютеры смотрят на него, а не качают обновки самостоятельно. Приостановили загрузку новых заплаток. Позакрывали соцсети, файлообменники и видеохостинги. Проверили конфигурацию и статистику на прокси — выяснили, что скачано фиг да маленько. Поругались недельку с провайдером, поискали ошибку в их биллинге. Не нашли. Снимали статистику через NetFlow со всего офиса.

Искали, как можно обойти наш прокси. Не нашли. Тем более не нашли, как можно NetFlow обмануть. Стали думать. Долго думали. Догадались. Кто сказал, что входящий поток трафика может быть инициирован только изнутри?

Во внутренней сети у нас имелся FTP-сервер, опубликованный наружу, для обмена большими файлами с заказчиками. С открытым доступом, чтобы заказчики не задавали глупых вопросов. Какие-то засранцы сервер обнаружили и облюбовали, сливая туда всякий крупногабаритный варез. А через NetFlow сервер не нашли, потому что на нём же расположена основная конторская файлопомойка, и для неё много трафика — это норма. Хотелось долго биться головой об стену.