Názory k článku Adam Golecký, NIX.CZ: nechceme rozhodovat o dobrém a špatném provozu
-
Rhinox (neregistrovaný)
"Rychlejsi drat" nic neresi, protoze ho nebudes mit jenom ty, muzou ho mit i ty "zombies" co se podileji na ddos-u...
Podle mne jedine reseni je to ktere bylo receno v rozhovoru: kazdej koncovej prodejce konektivity by mel filtrovat svuj odchozi traffic (coz se da delat velice jednoduse, na rozdil od filtrovani prichoziho ddos-u). Jenze dokud se standardy budou jenom "doporucovat", pak se neda cekat ze se taky realne zavedou...
-
hLenin COWARD! (neregistrovaný)
Predevsim to chce aby si kazdej uklidi svuj vlastni bordel. Potom si nikdo nebude muset dimenzovat linku tak aby mu unesla cizi brajgl.
A frajirci co radi exhibuji stylem "my profesionalove to vime nejlip a mame na to" prijdou o moznost zastitit se pragmatismem ...
ANEB: Ano, v soucasne chvili - pokud si hrajete na to ze "nase stranky jsou vzdy dostupne" - nekteri voli predimenzovanou linku. Ale to je leceni symptomu, nikoli choroby.
Pragmatik to mozna udela (se skripenim zubu), pouze exhibujici frajirci tim mavaji jako "ultimatnim resenim".
-
To ze filterujes odchozi trafik ti v nicem nepomuze, jen ti to ublizi.
Brzdi to router
Vyfiltruje to multihomed zakazniky co maji vice nez jedno pripojeni, ti v tom mivaji hokej protoze maji IP rosahy od dvou poskytovatelu a odesilaji je ven nahodne. To bys musel jeste zajistovat vyjimky coz je administrativne narocne - nemysli si ze koncovy zakaznik tomu rozumi a bude neco nekam hlasit, ten tam neco na mikrotiku porychtuje a to je asi vsechno.
Proste filtrovani ti NEPRINESE ZADNOU HODNOTU NAVIC.
To mas stejny jako s BGP. Zakaznici by teoreticky meli mit svoje, prakticky vsechno co announcujou nase import filtery smazou a jejich rosah announcujeme nezavisle my.
-
Rhinox (neregistrovaný)
1. filtrovani dle zdrojove adresy je velice jednoduche, a zdaleka nezatezuje routr tak, jak filtrovani dle obsahu packetu. I beznej gigovej domaci routr to zvladne bez nakyho dopadu na rychlost.
2. zakazniku s dvema a vice pripojenimi (kteri je pouzivaji soucasne) je opravdu malo. Tipuju ze jeden z tisice. Jestli ma ISP deset tisic klientu, pak tech deset vyjimek opravdu neni az tak narocne udelat.
3. kdyz budes ty jako ISP nebo tvy klienti pod ddos-utokem kde kazdej paket ma jinou zdrojovou adresu (zjevne spoofovanou), pak si spomenes na to, jestli by nebylo dobre aby kazdej koncovej ISP filtroval svuj odchozi traffic. Zejmena kdyz poradnej ddos ucpe tvuj downlink a na telefonu budes mit rozzlobeneho klienta.
Jenze jak sem psal na foru: ono se vzdy da najit nakej duvod, proc se neco udelat nema, neda, a nevyplati...
-
duvod je ten, ze v tomhle oboru minimalni marze. Kvalitni lidi nezaplatis a navic je jich hodne malo co tohle chteji kazdodenne delat. Ono je neco jineho si tady honit a nebo to realne delat.
ddos utoky nejsou problem site ale cilovych serveru. At si to resi cilovy server. Chtel co nejlevnejsi konektivitu, tak ji ma.
-
Martin Kalenda (neregistrovaný)
plácáte nesmysly. nefunguje symetrie, na kradeném cpu/net prostoru co vytvoříte botnetem neexistuje ekvivalent. Je to jen otom kolik útočník investuje. tj nefunguje poučka kdo šetří ma za tři resp nemá nic.
Ano chápu že nechtějí filtrovat, nicméně by měla být "secured" kontatkní platforma aby se dalo dohledat odkud to leze právě k tomuto ISP. Případně se mají složit na sdílenou infrastrukturu na které by se podíleli.
Mnohem více bych ocenil kdyby se NIC.CZ rozhodl v tomto členům nixu podat pomocnou ruku a ve svých labech spolufinancovat vývoj místo pochybných marketingových aktivit.
-
Martin Kalenda (neregistrovaný)
No třeba ten co proběhl. TJ např generátor traficu na kterém si to ISP ověří. Tam se sdílená platforma nedá racionálně odargumentovat jako nevhodná. Tak jako sdílená policie a celý IZS.
A ad vývoj, tak samozřejmě nejen generátor kde si naklikám jakej typ DDoS packet rate, velikost a kolik spoofů ale i response měřič během testu.
A požádal bych nevytrhávat z kontextu - nenapsal jsem že je to povinnost ale že bych raději aby bylo financováno toto než nějaké pochybné marketingové aktivity .
S masivmíni DDoS pracujeme pravidelně a představa že to ISP neřeší je samozřejmě naivní, většině ISP to hodí trigger a stejně to u nich generuje náklady na lidské zdroje.
-
hLenin COWARD! (neregistrovaný)
Nojo, a nejsou standarty taky jen socialisticky centralni planovani ? Zenevska konvence ?
Je tak strasny kdyz se lidi na necem dohodnou a pak to dodrzujou ?
Opravdu jsou vsichni tak hloupi aby stacilo na vec strcit nalepku komunisticke|socialisticke|fasisticke|rasisticke|sovinisticke|.*icke aby to automaticky odmavli ?
A co na to Jan Tleskac ?
-
j (neregistrovaný)
1) Pises hovadiny, beznej domaci router neufiltruje ani 10Mbit. Natoz gigo. Vetsinou ma problem i uroutovat stovku.
2) je jich nenulovy mnoztvi, a rozhodne ne tisicina.
3) nebylo, protoze to stejne nelze zaridit. Stejne musis mit dost tlustou linku. A jak pise i lenin, DOS neni pro sit zadnej problem.
-
j (neregistrovaný)
Je to problem, pro bezny domaci routokrabky i celkem neresitelnej. Kolikrat ja jen narazil na to, ze domaci NAT nezvladal NATovat .... protoze mu dosla pamet. A to se bavime o smesne pomalych linkach, o smesnych mnoztvich konexi, a smesnych objemech paketu.
Ano, pokud si nekdo domu koupi slusnou krabku (aspon za 2k), tak to tu domaci linku zvladne vpohode. Kolik % lidi si ji koupi, kdyz jim prece staci ta za 3 kila "jako ma franta"?
A co myslis, jak vypada takovy last mile zarizeni u providera? Myslis ze tam dobrovolne bude davat neco drazsiho, nez to nejlevnejsi rozumny zarizeni? A ted si predstav, ze takovej "lepsejsi" mikrotik se nekde na strese upece i kdyz lautr nic nedela. Co myslis, kdyz zatez toho CPUcka zvednu na 30-50% ... jak dlouho prezije?
Ano, bejvaly casy, kdy stalo zrizeni 64kbit wifiny na 2G4 50k+ ... a na kazdy strane bylo cisco.
-
Sten (neregistrovaný)
Router stejně musí projít všechny routy, aby věděl, kam má paket dál poslat. Při tom může celkem bez problémů zkontrolovat, že routa pro jeho zdrojovou adresu ukazuje na rozhraní, odkud přišel. Paměť navíc to žádnou nesežere, žere to trochu výkonu, ale oproti jiným věcem, které routery dělají (třeba ten NAT), to je celkem zanedbatelné. Jediný problém tak je, že by to musel někdo naprogramovat.
-
Sten (neregistrovaný)
Však se to nemusí vyměňovat hned. Stačilo by, aby se tak chovaly alespoň nové routery. Ale je to stejný jako s IPv6. ISP budou akorát řvát, že vyměnit všechny routery najednou je strašně drahé, ačkoliv to vůbec nemusí dělat najednou a jednou za tak pět let je stejně všechny obmění.
-
j (neregistrovaný)
Jiste, on ten router, kterej ma uz ted problem s pameti, bude do ty pameti cpat jeste 2x vic dat jen proto, aby vyresil neexistujici problem.
A je videt, ze vubec nevis jak veci funguji ... kde myslis, ze se ty cisla porovnanaj? Zeby v pameti? lol ... routery NAT vubec nedelaj, prober se. Na NAT se porizujou extra natovy krabice ... prave proto, ze routery by to absolutne nebyly schopny zvladnout. Spojit to do jednoho boxu si muzes dovolit tak doma.
Ono totoz (pro tvoji informaci) je routovani jaksi implementovany vice mene do HW ... takze pri routovani se CPU defakto vubec nepouziva. Zato naprosto jakakoli dalsi operace = musi se ten paket pozdrzet a poslat tomu CPU = pruser.
-
Sten (neregistrovaný)
Jo jo, expert se ozval. Ta čísla se sice porovnávají v paměti, ale obě tam už jsou. Je tam totiž celý paket.
Prober se, sám jsi psal o domácích routokrabkách, ne o carrier-grade routerech.
Pokud to dělá HW, tak prostě bude dělat dvě úplně stejná porovnání místo jednoho. A zahození paketu je pro CPU určitě velmi náročná operace ;-)
-
j (neregistrovaný)
Boze ty ses vul ....
Takze pro voly tveho typu ... router (at uz domaci nebo jakykoli jiny) si drzi v pameti CELOU routovaci tabulku ... ta muze mit nekolik malo zaznamu, nebo taky velmi mnoho ... (pokud je to hranicni BGP router, muze mit v pameti az "cely internet")
Domaci router sotva zvlada routovat - dneska neni zasadni problem mit doma 100Mbit, kdyz z ty domaci routokrabky jeste udelas NAT, tak zjistis, ze se na tech 100Mbit nikdy nedostanes - podle toho, jak moc drahou krabku mas, tak bud proste vytuhne nebo jen zacne zahazovat pakety.
A ty bys chtel, aby se do ty krabky pridala jeste dalsi tabulka do pameti, a porovnavalo se jeste s ni ...
Navic je videt, ze tys vzivote nic jinyho nez domaci routokrabku nevidel, protoze jestli je neco naprostej pruser, tak presne to, kdyz se jakakoli operace prenese na CPU, vime? Mam tu swich od cisca za nejakych 150kKc ... dokud po nem chci jen "blbe" switchovani, tak uswitchuje nejakych 80Gbit ... jakmile po nem ovsem budu chtit nejaky extraburty na L3 (coz umi) tak to pude pres CPU ... a vykon pujde pekne doprdele.
Mam tu taky postarsi router ... umi sice uz IPv6, ale je to reseni softwerove => na IPv4 uroutuje par Gbit ... na IPv6 uroutuje mozna par stovek Mbit. Prave proto, ze je to tlaceny pres CPU. Samo, je taky routovani IPv6 narocny na RAmku - a v krizi muze jit schopnost routovani pres CPU klidne na desitky Mbit, proste proto, ze ty pakety se musej nacist do systemovy pameti, misto aby to teklo pres tu routovaci cast. Ale to bys musel aspon tusit, jak takovej router vypada, ze.
-
Sten (neregistrovaný)
Fakt expert. Jaká další tabulka? Vždyť je to úplně ta samá tabulka, co tam už je.
Jaká operace se přenese na CPU? Zahazování paketů? To byl vtip, jestli ti to nedošlo, pakety se zahazují tak, že se prostě jenom nikam nepošlou. Což bude určitě vyžadovat spoustu výkonu na CPU, že?
-
J mluví o jiné kategorii routerů/switchů, které to mají opravdu rozdělené. Třeba Cisco 3750 má v TCAM pamětech místo tak pro 1000 rout, ačkoliv do normálních se vleze výrazně víc. Routování přes TCAM paměti je hodně rychlé, nicméně pokud TCAM paměť přeteče, tak jste v řiti, protože pak to uroutuje opravdu jenom ty megabity.
-
Sten (neregistrovaný)
Já ten jeho příspěvek chápu. Ale nechápu, jak se změní vytížení tabulek tím, jestli tam bude 1 000 rout a bude se hledat routa jen pro cílovou IP adresu či jestli tam bude stejný počet rout a bude se hledat routa i pro zdrojovou IP adresu. Vždyť těch rout je tam pořád stejný počet a zabírají pořád to samé místo.
-
Ono je to tak, že třeba uRPF pro IPv4 na ciscu je realizováno v hardware, uRPF pro IPv6 je realizováno v software. Takže může existovat systém, který když má pouze routovat IPv4, tak to udělá přes rychlé TCAM, pokud má dělat ještě uRPF, tak to žene všechno přes procesor, protože na to nejsou jeho ASICy stavěné.
-
Sten (neregistrovaný)
Jinak o ničem jiným než o domácích routokrabkách jsme se tu (až do tvého osvíceného příchodu s carrier-grade routery, abys předvedl, jaký jsi expert) nebavili. Protože ty sám jsi s nima začal:
Je to problem, pro bezny domaci routokrabky i celkem neresitelnejA neboj se, viděl jsem takové routery ;)
-
martin (neregistrovaný)
>>Došli jsme k tomu, že bychom měli svým zákazníkům doporučovat standard
>>BCP38. Ten je z roku 2000 a doporučuje filtrovat odchozí provoz z vlastní
>>sítě tak, aby nebylo možné například odesílat pakety s podvrženou
>>hlavičkou odesílatele.Jak se da nejlepe implementovat kontrola podvrzene hlavicky? Kdyz mam vnitrni sit v rozsahu napr. 192.168.1.0/24 staci nasledujici iptables pravidla? Nebo je nutne mit pravidlo misto "filter" v "mangle"?
iptables -A OUTPUT -p tcp --source 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -j DROP iptables -A OUTPUT -p udp --source 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -p udp -j DROP
-
Sten (neregistrovaný)
U jednoduchých sítí stačí Reverse Path Filter, který testuje, jestli pakety s danou zdrojovou adresou dostanou stejnou cestou i odpověď.
Starý způsob (funguje jen pro IPv4) je zapnout RP Filter v
/etc/sysctl.conf:net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1
Nový způsob (Linux ≥ 3.3, iptables ≥ 1.4.13) fungující i pro IPv6 je použít match
rpfilter:iptables -A PREROUTING -t raw -m rpfilter --invert -j REJECT --reject-with icmp-admin-prohibited ip6tables -A PREROUTING -t raw -m rpfilter --invert -j REJECT --reject-with adm-prohibited
-
martin (neregistrovaný)
iptables -A PREROUTING -t raw -m rpfilter --invert -j REJECT --reject-with icmp-admin-prohibited ip6tables -A PREROUTING -t raw -m rpfilter --invert -j REJECT --reject-with adm-prohibited
Takze jadro pozna IP pripojenych siti a ty povoli? Co kdyz budu mit nekde po ceste dalsi router s jinymi adresami? Je potreba neco nastavovat aby pakety prosly?
-
Sten (neregistrovaný)
Když jádro dostane paket, podívá se, jestli by odpověď poslalo tam, odkud paket přišel, tedy jestli routa pro zdrojovou IP adresu míří na příchozí rozhraní. Pokud ne, tak paket zamítne. Stačí mít potom správně nastavené routování, ale to je potřeba už jen proto, aby ta síť vůbec fungovala.
Teď, když na to koukám, tak by tam mělo být
DROP,REJECTvlastně nedává smysl (podvržené adrese stejně neodpovíte) a vPREROUTINGani nejde použít. -
j (neregistrovaný)
lol ... no ja zil az dodnes v (nejspis bludnem) presvedceni, ze paket ma vzdy src IP a dst IP ... a routuje se vzdy a pouze na dst IP. Src je totiz informace urcena vyhradne cilovemu stroji, a nikoho cestou nezajima. Zajima ho jedine a pouze v okamziku, kdy chce ty src IP rict, ze se neco nepovedlo.
-
Sten (neregistrovaný)
Pokud má multihoming, pak nejspíš bude i rozesílat BGP a tedy se zodpovědnost za podvržené pakety přesouvá na něj, takže jej ISP nebude filtrovat. Pokud BGP nerozesílá, neměl by ani posílat pakety se zdrojovou adresou od jiného providera nebo by si měl u svého ISP vyjednat výjimku.
-
A na to jste přišel jak...
Zkuste si někdy přečíst: http://www.ceskaposta.cz/assets/nastroje/zps.pdf
2. Obsahem poštovní zásilky nesmějí být
a) výbušniny,
b) radioaktivní látky,
c) omamné a psychotropní látky,
d) jedovaté a žíravé látky,
e) nakažlivé biologické látky,
f) tuhý oxid uhličitý,
g) tlakové nádoby, stlačené nebo zkapalněné plyny a plyny v roztocích,
h) biologická agens a toxiny, oxidující, hořlavé a ostatní chemické látky a přípravky, které jsou
klasifikovány jako nebezpečné podle § 5 zákona 350/2011 Sb., o chemických látkách a chemických
směsích a o změně některých zákonů (chemický zákon), vyhláška č. 474/2002 Sb., kterou se provádí
zákon č. 281/2002 Sb., o některých opatřeních souvisejících se zákazem bakteriologických
(biologických) a toxinových zbraní a o změně živnostenského zákona,
i) živí obratlovci.
ČLÁNKY DO MAILU