samm

Привет. Я решил написать клиент-сервер для mikrotik bandwith тест, чтобы можно было проводить его не только с микротик устройств. Так как протокол нигде не указан я решил его реверснуть с помощью wireshark. И у меня это практически получилось, см https://github.com/samm-git/btest-opensource/blob/master/README.md . Более того - я написал маленький proof of concept на перловке, который успешно работает и клиентом и сервером, пока правда tcp only и только в 1 тред и только без проверки аутентификации. Потом планирую переписать на plain c, чтобы можно было в ембеды пихать. Но есть 1 затык - протокол аутентификации. В случае если аутентификация включена, там явно используется что-то вроде salted md5, где salt посылается при коннекте к серверу (16 байт). Я смог понять что если пароль не задан, то клиент отвечает с md5(md5(challenge)). Если задавн - то я не смог понять логику создания хеша, но очевидно, что в нем учавстуют только challenge от сервера и пароль, от логина результат не зависит. Собственно, обращаюсь к помощи - если кто-то может глянуть под дизасмом btest.exe от mikrotik или еще как подобрать алгоритм создания хеша - это бы сильно помогло в написании полноценной замены btest.

Самое удивительное, что нет. Краткий аудит сети никаких особенных аномалий не выявил, кроме, может быть, ошибки в шейпере которая приводила к более низкой, чем, контрактная скорости у некоторых клиентов. Так что не думаю. А вот уменьшить вероятность проблем у всех из-за 1-2 "плохих" клиентов - я смогу. Спасибо! Я прочитал, что при использовании WPA*-AES особых потерь в скорости быть не должно, так как это офлоадится аппаратно с допотопных времен. Более того - это прямо рекомендуется делать вендором для всех сценариев кроме public free wifi. Пока я решил не переходить на WPA2-ENT ограничившись WPA2-PSK и разным PSK на каждую AP. Но в будущем, конечно, лучше сделать radius. И да, спасибо про время, я как-то не подумал об этом, это может быть проблемой.

Добрый день. Речь идет о небольшом районном провайдере, застройка одноэтажная, соответственно интернет раздается по wifi. Все wifi оборудование - Ubiquiti, в настоящий момент все было построено "на доверии". А именно - шифрование не используется, даже мак фильтрации нет, подключайся и пользуйся )) Хотелось бы это исправить. В связим с этим у меня есть вопросы: Имеет ли смысл включать WPA-Enterprise с radius? Не сильно ли упадет скорость сети от WPA по сравнению с non encrypted? Нормально ли работает это с Ubiquiti? Мне этот вариант нравится тем, что нет общего psk + легко интегрировать с биллингом. Делал ли кто-то подобное, или проще остановится на WPA-PSK и не давать доступ к клиентким антеннам? Может быть я вообще смотрю не в ту сторону, и это решается иначе? Captive Portal, ipsec + cpe, или еще каким образом? Буду рад помощи, спасибо.

Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике... Кстати, ссылку прочитать не смог - из Чехии сайт по прежнему лежит. Но если они легли от 250 мбит - то это позор, у меня часть проектов больше генерирует. А что касается "байта в секунду" - вполне может быть, я видел ддос-ы при которых активна только очень малая часть ботнета, которая если блокируется - моментально активизируется другая. В этом случае это обычно application level ddos, когда для блокировки сайта не нужно много ботов.

Собственно дальше мое терпение лопнуло, позвонил в ipaddr.ru, где мне пояснили что RIPE выдает адреса в штатном режиме. Решил подавать заявку к ним, но потом наткнулся на киевскую фирму Netassist (посчитал что все же лучше когда контора находится в одном с тобой городе, по крайней мере маловероятны мифические "пропажи" менеджеров). 15.02 Отправил заявку и подписал с ними договор. 17.02 RIPE выделил IP адреса. Спасибо ipaddr.ru за консультацию, и Netassist за столь быструю регистрацию адресов. На счет ip-as.ru советую подумать, прежде чем обращается к ним. Скупой платит дважды (в моем случае это в пустую потраченный месяц). Спасибо за комментарий, меня страшно веселило когда клиенты звонили нам в полной уверенности что адреса не выдаются и "можно ли что-то сделать в такой ситуации". После общения с менеджерами ip-as.ru, разумеется. Решил в форум не бросать, чтобы не сочли это за рекламу. LIR у них что-ли неоплачен? :)

В ip-as Alex Samorukov никогда не работал и не собирался :) Если можно - уточните (можно в привате) ваш email, я пока не понимаю о какой именно заявке идет речь.

Ну если интересен их технический уровень - можете посмотреть этот тред, там весьма вкусно: http://forum.nag.ru/forum/index.php?showto...mp;#entry407749

Действительно, моя ошибка. Видно, когда проверял, в буфере не тот кусок текста был. Снимаю шляпу :) Уровень вашей технической грамотности уже всем понятен, только вот непонятно зачем при этом хамить. На изменение моего nic handle поступил запрос на изменение от хоста 193.86.148.235 в 09:49 (т.е. как раз за пару минут до вашего "снятия шляпы"). В нем вы пытались изменить в SAMM-RIPE поле person c "Alex Samorukov" на "Poshel Nahui", что впрочем вам, естественно, не удалось. Самое смешное, что это бы не удалось даже если бы мой объект не был защищен мейнтейнером, модификация поля person запрещена. Еще раз настойчиво рекомендую разобраться в том как работает RIPE DB до того как давать безграмотные советы читателям

Вам уже несколько раз ответили что нет никакого отдельного пароля для веб и для email. Есть пароль maintainer'а, MD5 hash которого доступен публично и используется райпом при проверке вашего оригинального пароля как при использовании web так и в случае email. P.S. Авторизация по ключу (PGP или X.509) в RIPE тоже есть, но это совсем другая история. P.P.S. Язык RIPE - английский, и для полноценной работы с ним он таки крайне желателен.

Что попробовать? Вы (мы знакомы?) действительно вероятно не знаете разницу между MD5 и plain password. Для закрепления материала и в качестве бесплатного райп тренинга предлагаю вам простой эксперимент. Мой ripe person handle SAMM-RIPE закрыт мейнтейнером SAMM-MNT. MD5 пароля которого $1$mp2CefsP$X6LvSZvG4S4/eF3s9mDKB/. Предлагаю Вам самостоятельно изменить информацию в моем хендле (например, email или телефон), а я тем временем схожу за попкорном.

[Help] [Add] [Edit] [b][Authorisation] [/b][Select Source] [Query Database] [Copyright] Updating RIPE Database - From-Host: ХХХ.ХХХ.ХХХ.ХХХ - Date/Time: Thu Jun 4 21:50:41 2009 # of Creations # of Modifications # of Deletions # of No-Operations # of Syntax Errors Success 0 1 0 0 - Failure 0 0 0 - 0 Modify SUCCEEDED: [person] Вот изменил контакт персон сугубо по мд5 пароля. Или мы говорим о разных вещах? Вы указали в этом запросе сам пароль, а вовсе не его md5. Странно, что такие простые для понимания вещи непонятны регистратору PI и AS :)

1) Это не так, вы должны будете показать райпу зачем ван нужна сетка на 256 адресов.2) И все равно скорее всего не получится. Домашние бродбенд провайдеры наверняка не предоставят конечному абоненту бгп сессию. Для балансировки в таких условиях есть более простые решения. ???? хинт - мд5 хеши публично доступны в whois, сюрприз, ага. Единственный способ "авторизоваться по мд5" это брутфорс. Такие дела.

Когда я был на последнем MSK-IX meeting я задал этот вопрос. На меня смотрели как на говно, и кажется это совершенно никого не интересовало. На фуршете мне стали оживленно и яростно доказывать что а) DNSSEC не нужен b) все ляжет так как под нормальной нагрузкой его никто не тестил Мои робкие попытки объяснить про то что и первое и второе есть неправда, и рассказать про презентацию в которой эмулировалась нагрузка на руты и просто загруженные серверы на основании реальных логов запросов вызвала УНЫНИЕ и НЕПОНИМАНИЕ. Как я понял людей волновал альтернативный русский ДНС, великий, безжалостный и беспощадный