bitbucket

adblock рулит.

Если в этот список будут вносить и "управляторы" ботнетов - то хоть какая-то польза будет.

Великий цискотр*х еще полтора года назад не смог мне ответить на вопрос "что делать , когда юзер подменяет часть букв в url на %HH" ?

не назову так как в потрохах других mw не разбирался. Наш самописный mw, к примеру, при каждом переключении канала спрашивает у сервера "что щас идет по этому каналу". Вот вам и данные для статистики. Не удивлюсь, если у других так же сделано. Прекрасно. А зачем? Ну что бы внутренний плеер, который не умеет играть малтикаст поток, мог это делать. Например в konoos так реализован просмотр малтикаста. Ну а если положить udpxy на домашний роутер то тупой upnp телевизор так же сможет смотреть малтикаст каналы.

Аналитег эти пункты проверял? Большинство stb ставит/сдает в аренду оператор, для того, что бы оно работало с middleware оператора. В чем проблема в этом случае узнать какой канал какой юзер сколько смотрел ? Ну и еще в свичах доступа есть функционал для отслеживания igmp join/leave. у меня работает через wifi, так как есть WME и он правильно настроен. Я что-то не так делаю ? JFYI, udpxy уже даже в прошивки "коробочек" кладут.

А потом Чуров одним sql запросом делает из "фу" "да". На прошедших выборах все эту магию видели (146%)

KotikBSd, не делай так. Так не надо - это работает только если у вас за роутером 2-3 человека с объемом трафика до 10кппс.

Не прав он. Как определить, что это http ? По порту ? А завтра ютюб откроют на 24424 порту, что тогда ? Современные dpi/dlp системы уже давно не смотрят на порты, а сразу копают содержимое, и оттуда уже зунают протокол. Что касается пакетрейта, то он даже для GET будет достаточно хорош, а с учетом того, что надо еще найти syn/syn-ack то очень хорош для софтовых решений типа збфв. Ну и никто еще не отменял urlencode, тогда или же придется разбирать каждый запрос, или писать тучу правил на один url, даже с учетом pcre. А еще есть http 1.1 keepalive, где придется _все_ пакеты юзера смотреть, дабы не пропустить нужный запрос. Есть еще понятие "еврействующий".

Давай еще напиши про опыт внедрения британскими учеными этого збфв и можешь считать свою задачу выполненой. Вы не первый, кто ему подобный вопрос задает, так же как и вопрос про urlencode. Он не отвечает на такие вопросы (иногда просит денег).

Давно его не было... :( Чуть позже он начнет еще рассказывать про британских ученых и английский фаервол на основе циски. Уже было раза 2 или 3. Касаемо темы: ИМХО, если захотят кого-то (оператора) закрыть, то сделают это более "просыми" средствами (например пришлют пожарника, ага), а все эти письма ИМХО чисто отписка-отмазка для начальства (Вовы || Димы) что мы что-то делаем. Закрыть просто - не получится. Но самое обидное то, что этот хренов фильм ИМХО интересен только исчезающе малому проценту людей (это же не game of thrones). И ради того, что бы этой кучке усложнить жизнь (хоят врятли - кто надо уже скачал и посмотрел) операторам придется серьезно поработать. Плюс пока один вижу - видимо скоро у всех на сетях появтся адекватный DPI который сможет блочить то, что действительно надо - вирье.

Да, так тоже можно. Вариантов фильтров там уже множество: по строке в определенных оффсетах или u32. Но отстанут не скоро (не за день)

Видимо никак. На то она и циска. :) Я бы сейчас озаботился заменой адреса dns сервера (передвинум бы на другой), и, через какое-то время просто бы начал дропать трафик на старый адрес. Весь трафик, если там ничего из других сервисов не осталось.

Не, тут все рубится shorewall-ом на линухе. Там вообще то sysctl за это дело отвечает. acl я привел выше. вешаю его на внешний интерфейс (ip access-group 120 in) ну и собственно всё. Ну под тот acl много чего попадет и лишнего, а если pcf то только флуд, так как там еще и ripe.net можно заматчить.

Продать видимо сложно: не факт что везде будет работать, так как есть места где сеть угружена на полную и даже голос не работает.

циска умеет pcf ? пакеты с запросом вполне все одинаковые, их легко отсеять через pcf фильтр.

Плохо то как.... Похоже все таки ваш dns большим количеством запросов валят. И во всех запросах там A ripe.net спрашивают ? Если везде, то проще pcf фильтром обрезать на свиче все внешние запросы про A ripe.net Насколько хорошо оно житвет как кеширующий dns ? А то dnscache вроде и быстрый, но периодически ему плохеет непонятно почему. Так что ему ищется замена, пока вот поменяли кое-где на unbound.

Разделить сервер для хостингов с сервером для юзеров: по идее это должны быть разные даже программы: например dnscache и bind. Так как от юзеровских запросов у bind-а память теряется и ему потом плохеет, а dnscache вроде живет более-менее стабильно. так вот у сервера "для юзеров" исходящий порт при рекурсивном запросе должен быть не 53.

Спич был про спуфинг и его фильтрацию. Я просто поинтересовался наличием фильтров давящих спуфинг своих абонентов. По задаче: без tcpdump все равно не понять что это за трафик, причем tcpdump -s0

Я же написал - вебмани. Им я отправлял запрос: "юзер жалуется что не коннектится к ихнему киперу". Ответ - "мы не умеем 0 и 255". А как на это ripe посмотрит в свете окончания адерсов ipv4 ?

Ну тут вроде не dc провайдер. Andrei, у вас как со спуфингом дела обстоят ? Боритесь ? Ловите ? По шапке даете ?

Столкнулся с проблемой: некоторые сетевые ресурсы (например вебмани) не пускают юзеров, у которых адрес заканчивается на 0 или 255. Причем, для моей сети это вполне легальный адрес так как сеть не /24 или же адерс выдан на pptp соединение. И что в таких случааях делать, если кто-то там не понимает подобные адерса ? Убирать из пула dhcp или pptp адерсов не интересно - ipv4 и так кончается.

Ну фильтровать что шлет клиент оператор просто обязан.

Нет. Если ваши юзеры срезолвили запрашиваемый адрес и он есть в кеше, то allow-recursion не работает. ЗЫ: абузы можно и не писать - их читать ТАМ никто не будет.

tcpdump -niHHH udp port 53 адрес не показывает ? Может это iftop так работает.

ну такто это ч1 ст 272 Недоказуемо.