|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Slava Astashonok 2:5020/400 08 Nov 2002 18:17:01
To : Aleksey Barabanov
Subject : Re: count traffic not by ipchains
--------------------------------------------------------------------------------
>>Хорошо, для определннности буду говорить о linux-роутерах.
>>Syn-flood, frag-flood и "прочие штучки" на самом деле не очень опасны -
>>их тоже можно
>>учесть при построении эккаунтинга. Какой бы "хитрый" пакет ни пришел,
>>tcpdump и iptables
>>его посчитают. И как DoS они тоже неинтересны - роутер не перестанет
>>функционировать.
>
> Поправлю Вас. Сниффер посчитает все, что успеет считать через libcap, в том
> числе и идущий мимо хоста трафик сегмента, а вот цепочки ядра только то что
> непосредственно пройдет через ip-стек.
Я подразумевал сниффер с фильтром настроенным на захват "нужного" траффика.
>>Эти атаки направлены на переполнение определенных структур в IP-стеке
>>ядра и никакой
>>невероятной нагрузки на CPU при этом не возникает.
>
> ???? Вы не поняли : "переполнение структур" это и есть router overload. А
> ЦПУ тут вовсе ни при чем.
Я действительно не понял, но по-моему это ничего не меняет.
>>А для строго учета траффика его следует снимать, выражаясь языком
>>iptables и на INPUT
>>и на FORWARD, а затем говорить своим клинтам, что вы должны нашему ISP
>>price1*sizeof(FORWARD) + price2*(sizeof(INPUT) - sizeof(FORWARD))
>>килобаксов.
>
> Т.е. если пользователь зафлудил мой рутер до карачуна, так что трафик
> проходящий через цепочки снизился, то система подсчета трафика на цепочках
> этот паразитный трафик не учтет и этот гад останется безнаказанным и с
> финансовой точки зрения.
Hе понимаю. Почему не учтет? Вы утверждаете, что в некоторых случаях пакеты
могут проходить мимо iptables? Или не доходить до него? Сомневаюсь. Впрочем,
чтобы говорить об этом нужно в точности знать как iptables "прикреплен"
к ядру,
а я этого не знаю. Для меня очевидная опасность flood-а заключается в том,
что им можно замусорить flow-cache киски или аналогичной системы, но тут
ничего
не поделаешь - придеться подбирать lifetime/idle таймауты. В любом случае, с
flood-ом, как с разновидностью DoS, нужно бороться административными
методами - сворачивать кулхацкерам головы.
>>Прежде чем экспериментировать хорошо бы немножко посчитать. Предполжим у
>>нас 100Mb/s сеть и маршрутизатор с камнем в 500MHz (вроде,
>>среднестатистические значения?).
>>Лень считать по теории: ping -f -s 1, получаю что-то около 6000 пакетов
>>в секунду (это в
>>одну сторону). Значит, на обработку пакета роутер может затратить около
>>80000 тактов.
>>Hа мой взгляд этого вполне достаточно и для роутинга, и для iptables, и
>>для libpcap-сниффера.
>
> Простите меня за тупость, но я что-то не очень могу уследить за Вашими
> расчетами, но если им верить, то беспокоиться о потере трафика сниффером не
> стоит ?
Думаю да, но как известно, полную гарантию может дать только Сбербанк (c).
Hужна профилактика с top-ом и генератором траффика в руках.
>>Это говорит от том, что NeTraMet - сниффер. Именно поэтому я о нем и
>>вспомнил.
>
> Да сниффер. И с некоторого времени libcap-совместимый.
>
> Bye.
--- ifmail v.2.15dev5
* Origin: MTU-Intel ISP (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
