|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Slava Astashonok 2:5020/400 07 Nov 2002 17:39:45 To : Aleksey Barabanov Subject : Re: count traffic not by ipchains -------------------------------------------------------------------------------- [...] >>Кстати, с детализацией на "толстых" каналах, никаких трудностей - PC там >>просто неоткуда взяться. http://www.cisco.com/go/netflow - великолепное >>решение, >>кстати, и для unix-овых роутеров (см. ниже). > > А кто спорит. Там совсем иная политика. > > Hо тоже есть возражения. Hапример syn-flood и прочие штучки. Если исходить > из того, что подсчет через счетчики ip-стека рутера априори не теряет > трафика, так это не верно. И рутер тоже может терять трафик. Другое дело, > что его можно не учитывать ибо он рутером отвергнут. А считать трафик на > выходе рутера не всегда возможно из-за NAT. Т.е. для цели аккаунтинга надо > считать трафик входящий от клиентов в обсчитываемую сеть. А вот трафик > исходящий из сети нужен только для сравнения собственного баланса и баланса > ISP. Значит и отвергнутые исходящим рутером пакеты должны войти в баланс > клиента. Так вот эти пакеты сниффер может увидеть, а задавленный нагрузкой > рутер нет. Хорошо, для определннности буду говорить о linux-роутерах. Syn-flood, frag-flood и "прочие штучки" на самом деле не очень опасны - их тоже можно учесть при построении эккаунтинга. Какой бы "хитрый" пакет ни пришел, tcpdump и iptables его посчитают. И как DoS они тоже неинтересны - роутер не перестанет функционировать. Эти атаки направлены на переполнение определенных структур в IP-стеке ядра и никакой невероятной нагрузки на CPU при этом не возникает. А для строго учета траффика его следует снимать, выражаясь языком iptables и на INPUT и на FORWARD, а затем говорить своим клинтам, что вы должны нашему ISP price1*sizeof(FORWARD) + price2*(sizeof(INPUT) - sizeof(FORWARD)) килобаксов. [...] >>фрагментов, неизвестные снифферу протоклы и пр. Потери связанные с >>производительностью роутера/сети я не рассматриваю - у меня пока нет >>статистики. > > А вот это и есть самое важное. И это остается вопросом. Прежде чем экспериментировать хорошо бы немножко посчитать. Предполжим у нас 100Mb/s сеть и маршрутизатор с камнем в 500MHz (вроде, среднестатистические значения?). Лень считать по теории: ping -f -s 1, получаю что-то около 6000 пакетов в секунду (это в одну сторону). Значит, на обработку пакета роутер может затратить около 80000 тактов. Hа мой взгляд этого вполне достаточно и для роутинга, и для iptables, и для libpcap-сниффера. >>Чуть не забыл - еще можно поискать информацию связанную с NeTraMet - >>интересная >>вещь. > > Там внутри есть директория называемая tcpdump. Это вам ни о чем не говорит ? Это говорит от том, что NeTraMet - сниффер. Именно поэтому я о нем и вспомнил. > > Bye. --- ifmail v.2.15dev5 * Origin: MTU-Intel ISP (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/1012c14ccddd.html, оценка из 5, голосов 10
|