|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 08 Nov 2002 15:21:19
To : Slava Astashonok
Subject : Re: count traffic not by ipchains
--------------------------------------------------------------------------------
Slava Astashonok wrote:
> Хорошо, для определннности буду говорить о linux-роутерах.
> Syn-flood, frag-flood и "прочие штучки" на самом деле не очень опасны -
> их тоже можно
> учесть при построении эккаунтинга. Какой бы "хитрый" пакет ни пришел,
> tcpdump и iptables
> его посчитают. И как DoS они тоже неинтересны - роутер не перестанет
> функционировать.
Поправлю Вас. Сниффер посчитает все, что успеет считать через libcap, в том
числе и идущий мимо хоста трафик сегмента, а вот цепочки ядра только то что
непосредственно пройдет через ip-стек.
> Эти атаки направлены на переполнение определенных структур в IP-стеке
> ядра и никакой
> невероятной нагрузки на CPU при этом не возникает.
???? Вы не поняли : "переполнение структур" это и есть router overload. А
ЦПУ тут вовсе ни при чем.
> А для строго учета траффика его следует снимать, выражаясь языком
> iptables и на INPUT
> и на FORWARD, а затем говорить своим клинтам, что вы должны нашему ISP
> price1*sizeof(FORWARD) + price2*(sizeof(INPUT) - sizeof(FORWARD))
> килобаксов.
Т.е. если пользователь зафлудил мой рутер до карачуна, так что трафик
проходящий через цепочки снизился, то система подсчета трафика на цепочках
этот паразитный трафик не учтет и этот гад останется безнаказанным и с
финансовой точки зрения.
> Прежде чем экспериментировать хорошо бы немножко посчитать. Предполжим у
> нас 100Mb/s сеть и маршрутизатор с камнем в 500MHz (вроде,
> среднестатистические значения?).
> Лень считать по теории: ping -f -s 1, получаю что-то около 6000 пакетов
> в секунду (это в
> одну сторону). Значит, на обработку пакета роутер может затратить около
> 80000 тактов.
> Hа мой взгляд этого вполне достаточно и для роутинга, и для iptables, и
> для libpcap-сниффера.
Простите меня за тупость, но я что-то не очень могу уследить за Вашими
расчетами, но если им верить, то беспокоиться о потере трафика сниффером не
стоит ?
> Это говорит от том, что NeTraMet - сниффер. Именно поэтому я о нем и
> вспомнил.
Да сниффер. И с некоторого времени libcap-совместимый.
Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5
* Origin: homenet (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
