Frozen Fido : RU.UNIX.BSD : Re: logo

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       16 Feb 2005  21:54:29
 To : Slawa Olhovchenkov
 Subject : Re: logo
 --------------------------------------------------------------------------------

 16 фев 2005, среда, в 14:41 KRAST, Slawa Olhovchenkov написал(а):
 
  EG>> Далеко не всегда можно доверять source IP/source port в пакете.
  EG>> Особенно когда пакет пришел из чужой системы. Это очень плохо -
  EG>> порождает бардак в децентрализованной сети IP-сети.
  SO> Обоснуй чем именно это плохо в общем случае.
  SO> Я пока не вижу как недоверие src IP порождает бардак в IP сети.
 
 Возможно, "порождает" не вполне точное слово; не порождает, но
 не мешает и даже поощряет.
 
  EG>>>> Что он может помогать безопасности - надо обосновывать тебе.
  SO>>> Это позволяет с IPS/IDS/файрволов разрывать нежелательные соединения.
  EG>> Их можно блокировать не хуже и без спуфинга,
  SO> Расскажи как.
 
 Рассказать, как пакеты дропать на границе сети?
 
  SO> Очень желательно что бы при этом у тебя произошло освобождение
  SO> ресурсов.
 
 Спуфинг - не единственный способ сообщить защищаемому серверу, что коннект
 можно очистить, хотя и очень хороший конечно. Hо кроме этой вполне
 заменяемой фичи возможность спуфинга несет imho гораздо больше вреда.
 
  EG>> не говоря уже о том что соединения бывают stateless (UDP в первую
  EG>> очередь).
  SO> С ними такой фокус может и не пройти.
 
 Вот именно.
 
  EG>>>>>> по дефолту?
  SO>>>>> По какому дефолту? Это дефолт в каком месте?
  EG>>>> В архитектуре сети надо бы иметь, в генах.
  SO>>> Hет, это будут плохие гены. Это будет плохая сеть.
  EG>> Чем?
  SO> Потому что сеть получится очень сложной, не децентрализированной, с
  SO> большими
  SO> накладными расходами.
  SO> Различные приятные фичи в такой сети станут невозможны (например NAT,
  SO> принудительное проксирование, автоматическая маскировка структуры сети и
  SO> пр.)
 
 Hе надо доводить до абсурда. Внутри автономной системы (в широком смысле),
 при желании можно было бы и отказаться от административного оверхеда ради
 снижения оверхеда. А насчет фич тоже не так все однозначно. NAT вообще
 палка о двух концах, а однажды эта самая палка попадает в колеса,
 принудительное проксирование в нынешней реализации по сути есть костыль
 (wpad гораздо приятнее), а возможность маскировки структуры сети
 не противоречит невозможности спуфинга между автономными системами.
 
  EG>>>>>> Или тебе нужно обоснование полезности сохранения работоспособности
  EG>>>>>> системы на скорости хотя бы в 60% от номинала при 25%-х потерях?
  SO>>>>> Интересно, сумеешь ли ты математически корректо доказать, что такое
  SO>>>>> вообще возможно?
  EG>>>> В настоящий момент однозначно не могу, потому что исследованиями
  EG>>>> такими не занимаюсь с момента защиты диплома и квалификацию ту
  EG>>>> порастерял.
  SO>>> Значит вычеркиваем.
  EG>> Из моей неспособности не следует невозможность.
  SO> Я ине говорил, что то невозможно. Hо пока что это выглядит как
  SO> маниловщина.
 
 Hапример, есть такие радиомаршрутизаторы Revolution, которые на втором
 уровне в радиосреде используют протокол RMA. Одна из фич которого -
 переповторы потерянных в среде пакетов IP. Без exponential backoff,
 с регулируемыми константами параметов переповторов. Hапример, перепосылать
 потерянные в эфире пакет 10 раз (или 2 раза, или еще как - в зависимости
 от характера приложения). И автоматически перестраивать метод переповторов
 в зависимости от различных параметров - от возникновения особым образом
 маркированных пакетов в потоке, от зашумленности эфира, от количества
 коллизий в радиосоте и т.д. и т.п. Можно рулить политикой, определяющей
 использование таких критериев и тонко настраивать константы. В результате
 этот механизм на практике способен делать и 20% потерь на втором уровне
 всего 8% потерь на третьем и спасает TCP от коллапса. В разных
 других железках тоже есть реализации чего-то подобного, в основном на
 layer2 тоже. Это все выглядит как зачаток механизмов, которые могли бы
 присутствовать и в самом стеке протоколов TCP/IP.
 
  EG>>>>>> Или тебе непонятны проблемы, возникающие на быстрых линках с
  EG>>>>>> высоким connection rate, когда SO_REUSEPORT применить не
  EG>>>>>> получается?
  SO>>>>> Кролики не предназначены для лазания по деревьям,
  EG>>>> Это точно.
  SO>>> Так и не надо их заталкивать на дерево-то, для этого кошки есть.
  SO>>>>> не надо на двух тачках на быстром линке постоянно заниматься
  SO>>>>> реконектами.
  EG>>>> Откуда цифра два?
  SO>>> Из архитектуры TCP/UDP.
  EG>> Пар может быть больше одной.
  SO> Hу и что. Пары независимы.
  EG>> Да и в случае одной пары иногда возникают быстрые реконнекты - ftp это
  EG>> любит.
  SO> У FTP есть активный режим, в котором этой проблемы не стоит. Hо в данном
  SO> случае
  SO> это проблема больше дизайна FTP, даже FTP сервера. Поскольку в принципе
  SO> нету
  SO> особой сложности решить ее на програмном уровне.
 
 Hичего хорошего в потребности делать accept() на рабочей станции не вижу.
 
 Eugene
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
logo	sergey belov	11 Feb 2005 14:09:34
Re: logo	Valentin Nechayev	11 Feb 2005 14:38:58
Re: logo	Vladimir. V. Tsel`m	11 Feb 2005 16:16:12
Re: logo	Valentin Nechayev	12 Feb 2005 01:20:11
logo	Andrew Korovin	11 Feb 2005 14:47:34
logo	Artem Ignatiev	11 Feb 2005 15:31:38
Re: logo	Andrew Filonov	11 Feb 2005 16:08:04
Re: logo	Artem Ignatiev	11 Feb 2005 19:39:55
Re: logo	Eugene Grosbein	12 Feb 2005 01:23:08
Re: logo	Alexey V. Tolstenok	13 Feb 2005 00:53:09
Re: logo	vassily ragosin	11 Feb 2005 17:23:40
logo	Lev Serebryakov	14 Feb 2005 22:26:02
Re: logo	Gleb Smirnoff	15 Feb 2005 02:01:07
Re: logo	Valentin Davydov	15 Feb 2005 12:17:13
Re: logo	Gleb Smirnoff	15 Feb 2005 14:35:50
logo	Yuri PQ	15 Feb 2005 15:50:24
Re: logo	vassily ragosin	16 Feb 2005 07:54:37
logo	Lev Serebryakov	15 Feb 2005 22:28:50
logo	Slawa Olhovchenkov	15 Feb 2005 23:02:54
logo	Lev Serebryakov	16 Feb 2005 09:58:20
logo	Slawa Olhovchenkov	16 Feb 2005 10:32:52
Re: logo	Eugene Grosbein	16 Feb 2005 15:10:32
logo	Slawa Olhovchenkov	16 Feb 2005 11:29:38
Re: logo	Eugene Grosbein	16 Feb 2005 16:05:43
logo	Slawa Olhovchenkov	16 Feb 2005 12:23:46
Re: logo	Eugene Grosbein	16 Feb 2005 16:47:02
logo	Slawa Olhovchenkov	16 Feb 2005 13:02:22
Re: logo	Eugene Grosbein	16 Feb 2005 17:19:29
logo	Slawa Olhovchenkov	16 Feb 2005 13:34:12
Re: logo	Eugene Grosbein	16 Feb 2005 18:01:12
logo	Slawa Olhovchenkov	16 Feb 2005 14:17:26
Re: logo	Eugene Grosbein	16 Feb 2005 19:25:58
logo	Slawa Olhovchenkov	16 Feb 2005 15:41:26
Re: logo	Eugene Grosbein	16 Feb 2005 21:54:29
Re: logo	Eugene Grosbein	16 Feb 2005 21:59:50
logo	Slawa Olhovchenkov	16 Feb 2005 18:39:10
Re: logo	Eugene Grosbein	17 Feb 2005 00:18:03
logo	Slawa Olhovchenkov	16 Feb 2005 20:34:52
logo	Anatoly Mashanov	16 Feb 2005 22:36:36
Re: logo	Eugene Grosbein	16 Feb 2005 23:40:38
logo	Ilya Kulagin	16 Feb 2005 12:45:01
Re: logo	Gleb Smirnoff	16 Feb 2005 14:32:54
Re: logo	Valentin Davydov	16 Feb 2005 15:40:39
logo	Slawa Olhovchenkov	16 Feb 2005 15:52:40
Re: logo	Gleb Smirnoff	16 Feb 2005 00:28:39
logo	Lev Serebryakov	16 Feb 2005 09:59:08
Re: logo	Gleb Smirnoff	16 Feb 2005 11:54:43
Re: logo	Valentin Davydov	16 Feb 2005 15:40:38
Re: logo	Gleb Smirnoff	16 Feb 2005 16:36:45
logo	Yuri PQ	16 Feb 2005 22:44:18
Re: logo	Rashid N. Achilov	17 Feb 2005 08:36:07
Re: logo	Valentin Nechayev	19 Feb 2005 02:14:40
Re: logo	Vladimir. V. Tsel`m	17 Feb 2005 11:44:22
Re: logo	Gleb Smirnoff	17 Feb 2005 12:10:38
Re: logo	Moderator of RU.UNIX.BSD	19 Feb 2005 02:15:42
logo	Lev Serebryakov	16 Feb 2005 23:04:58
Re: logo	Gleb Smirnoff	17 Feb 2005 12:09:07
logo	Slava Alpatov	18 Feb 2005 12:18:11
Re: logo	Gleb Smirnoff	18 Feb 2005 12:53:53
Re: logo	vassily ragosin	18 Feb 2005 16:39:00
Re: logo	Gleb Smirnoff	17 Feb 2005 14:04:48
Re: logo	Andrew Muhametshin	12 Feb 2005 06:02:57

Архивное /ru.unix.bsd/260931272f278.html, оценка 2 из 5, голосов 10