|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Slava Astashonok 2:5020/400 07 Nov 2002 17:39:45
To : Aleksey Barabanov
Subject : Re: count traffic not by ipchains
--------------------------------------------------------------------------------
[...]
>>Кстати, с детализацией на "толстых" каналах, никаких трудностей - PC там
>>просто неоткуда взяться. http://www.cisco.com/go/netflow - великолепное
>>решение,
>>кстати, и для unix-овых роутеров (см. ниже).
>
> А кто спорит. Там совсем иная политика.
>
> Hо тоже есть возражения. Hапример syn-flood и прочие штучки. Если исходить
> из того, что подсчет через счетчики ip-стека рутера априори не теряет
> трафика, так это не верно. И рутер тоже может терять трафик. Другое дело,
> что его можно не учитывать ибо он рутером отвергнут. А считать трафик на
> выходе рутера не всегда возможно из-за NAT. Т.е. для цели аккаунтинга надо
> считать трафик входящий от клиентов в обсчитываемую сеть. А вот трафик
> исходящий из сети нужен только для сравнения собственного баланса и баланса
> ISP. Значит и отвергнутые исходящим рутером пакеты должны войти в баланс
> клиента. Так вот эти пакеты сниффер может увидеть, а задавленный нагрузкой
> рутер нет.
Хорошо, для определннности буду говорить о linux-роутерах.
Syn-flood, frag-flood и "прочие штучки" на самом деле не очень опасны -
их тоже можно
учесть при построении эккаунтинга. Какой бы "хитрый" пакет ни пришел,
tcpdump и iptables
его посчитают. И как DoS они тоже неинтересны - роутер не перестанет
функционировать.
Эти атаки направлены на переполнение определенных структур в IP-стеке
ядра и никакой
невероятной нагрузки на CPU при этом не возникает.
А для строго учета траффика его следует снимать, выражаясь языком
iptables и на INPUT
и на FORWARD, а затем говорить своим клинтам, что вы должны нашему ISP
price1*sizeof(FORWARD) + price2*(sizeof(INPUT) - sizeof(FORWARD))
килобаксов.
[...]
>>фрагментов, неизвестные снифферу протоклы и пр. Потери связанные с
>>производительностью роутера/сети я не рассматриваю - у меня пока нет
>>статистики.
>
> А вот это и есть самое важное. И это остается вопросом.
Прежде чем экспериментировать хорошо бы немножко посчитать. Предполжим у нас
100Mb/s сеть и маршрутизатор с камнем в 500MHz (вроде,
среднестатистические значения?).
Лень считать по теории: ping -f -s 1, получаю что-то около 6000 пакетов
в секунду (это в
одну сторону). Значит, на обработку пакета роутер может затратить около
80000 тактов.
Hа мой взгляд этого вполне достаточно и для роутинга, и для iptables, и
для libpcap-сниффера.
>>Чуть не забыл - еще можно поискать информацию связанную с NeTraMet -
>>интересная
>>вещь.
>
> Там внутри есть директория называемая tcpdump. Это вам ни о чем не говорит ?
Это говорит от том, что NeTraMet - сниффер. Именно поэтому я о нем и
вспомнил.
>
> Bye.
--- ifmail v.2.15dev5
* Origin: MTU-Intel ISP (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
