Перейти к содержимому
Калькуляторы

загрузка ЦП Mikrotik на 100%. Помогите снизить нагрузку на ЦП

Завязывайте оффтоп, а то руки уже чешутся пару страниц снести к херам, это не "политика" ежели чо. >:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сначала свою AS каким то боком приплели, теперь спуфиг tcp примерно так же "в тему"... вы вообще не понимаете о чем речь похоже. =)

Вы достали, если честно. По факту мы имеем:

 

1. То, что Вы называли MITM атакой на ssh - оказалось невозможно реализовать (отдельный вопрос, что же, в итоге, Вы под этим подразумевали :).

2. Адреса своей сети, чтобы посмотреть, что у вас там организовано - Вы тоже давать не хотите.

3. Я увидел пока только какого-то человека с комплексом неполноценностителефона HTC one S, скрывающего за ником и любящим поругаться и похвастаться зарплатой.

4. Если Ваша цель покидаться какашками, то давайте продолжим, я не против.

 

Ваши предложения? Если будем какашками - то имейте в виду, это надолго :) Мне не сложно.

 

Простите, что?

Прощаю. Не знаю, если честно, что хотел участник myst сделать. Поднять сессию на 22 порт с подменой src ip? Тогда это и есть спуфинг.

Перехватить ssh сессию в середине и подсунуть свой ключ? Это MITM.

Техническая сторона не раскрыта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По факту мы имеем

1. Я разжевал что имел ввиду чуть более чем подробно

2. С какого перепуга я левому человеку должен давать какие то адреса вообще? Да и вообще что-то должен...

3. Открою страааааашную тайну. Тут почти все скрываются за никами и вы точно так же будете посланы с запросами "кто вы, что за контора, явки-пароли"

4. Моей целью изначально небыло кидаться ничем, но ввиду вашей персональной вопиющей неадекватности топик превратился в сборку лулзов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Завязывайте оффтоп

Началось все с необоснованных наездов на оборудование. Практически никто из присутствующих не покупает железки на свои деньги (покупают на конторские).

Я вот купил на свои и считаю, что за свои деньги получил адекватное оборудование, которое быстро окупится.

Все остальное - лирика. Зачем мне нужно вместо работающего микротика покупать более дорогие железяки или тащить бу - мне так и не рассказали.

 

В конечном счете все свелось к тому, что кто-то выставляет ssh в public и считает это нормальным, а я этого не делаю и не имею связанных с этим проблем (в том числе на микротике).

 

Итог: почему надо выкинуть микротик и купить что-то еще я не понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда это и есть спуфинг.

Ага, спуфинг, но причем тут tcp то? =)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4. Моей целью изначально небыло кидаться ничем, но ввиду вашей персональной вопиющей неадекватности топик превратился в сборку лулзов.

Давайте вернемся к микротику.

То, что можно не выставлять 22й порт в интернет мы все уже поняли (а кто выставляет - сам себе....).

 

Какие еще есть варианты, кроме бу SRX с ebay? Кстати, по деньгам они таки проигрывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Началось все с необоснованных наездов на оборудование.

Это в ваших эльфийских фантазиях наезды необоснованые, а вот я их обосновал и привел конкретные примеры. В этом же топике. И в куче других.

Причем, примеры на опыте очень не маленькой сети.

 

У вас же все "обоснования" на уровне админа локалхоста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, спуфинг, но причем тут tcp то? =)))

А Вы какой протокол собрались использовать для подключения на 22й порт?

Обрисуйте внятно схему и я на пальцах покажу Вам, почему она не сработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие еще есть варианты, кроме бу SRX с ebay? Кстати, по деньгам они таки проигрывают.

Ну круто что, зато он время от времени не забывает статик dhcp лизы после ребута как 751/951 линейка... ну так, на вскидку. Just another example.

 

Ага, спуфинг, но причем тут tcp то? =)))

А Вы какой протокол собрались использовать для подключения на 22й порт?

Обрисуйте внятно схему и я на пальцах покажу Вам, почему она не сработает.

А разница какой я собрался использовать? Ещё раз, причем тут TCP SPOOFING?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это в ваших эльфийских фантазиях наезды необоснованые, а вот я их обосновал и привел конкретные примеры. В этом же топике. И в куче других.

Ой-вей! Я открываю последний release notes для одной из веток IOS, что у меня массово используется и там ужасы от страшных до душераздирающих.

 

Причем, примеры на опыте очень не маленькой сети.

Не испугался. 15 лет назад я, будучи инженером, поддерживал сеть на смеси motorola/cisco/какие-то страшные железки, названия которых я уже не помню.. Все перечисленное тут по сравнению с теми проблемами - это мелочи жизни.

Вероятно если влить в микротик 10 тыщ рутов через ospf - ему поплохеет. Не знаю, но попробую (дома завтра). В конечном счете нигде подобной задачи у меня нет.

 

У вас же все "обоснования" на уровне админа локалхоста.

У меня обоснования на уровне "работает". BGP/mpls у микротика вполне работоспособно.

У Вас может быть и не работает - ну так не покупайте :) Я Вашу сеть не видел, ничего про нее не знаю.

Мне не важно, как оно у Вас. Мне важно, как оно у меня.

 

Это даже лучше будет - Вы будете покупать дорогое железо, а я дешевое :)

 

Ну круто что, зато он время от времени не забывает статик dhcp лизы после ребута как 751/951 линейка... ну так, на вскидку. Just another example.

У меня DHCP кроме офиса и дома и нет нигде.. Ну тестовый есть, конечно, но не в продакшене.

Накой фиг он мне нужен?

 

А разница какой я собрался использовать?

А что Вы собрались использовать? Повторяю вопрос в который раз.

Ответ "не скажу" я тоже приму, но тему тогда закроем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ой-вей! Я открываю последний release notes для одной из веток IOS, что у меня массово используется и там ужасы от страшных до душеращдирающих.

А они везде, у любого вендора только

1) У cisco есть TAC

2) У cisco есть куча прошивок в которых с бОльшей долей вероятности можно найти стабильную

А вот мне микротики routing-package чинили полтора года. Они видите ли "по своему" прочитали rfc по ospf.

 

Вероятно если влить в микротик 10 тыщ рутов через ospf - ему поплохеет. Не знаю, но попробую (дома завтра).

 

не 10к а 500(штук) на 951/751 и около 3к на 1100AHx2

В конечном счете нигде подобной задачи у меня нет.

А у меня есть, и? Всем надо под ваши задачи равняться или верить утверждениям что "микротик что-то там рвет" только потому что у вас таких задач нет?

 

У меня обоснования на уровне "работает". BGP/mpls у микротика вполне работоспособно.

О да, с бгп там были свои приколы в ветках 5.4+ особенно с фильтрациями.... Сейчас не знаю да и эксперементировать особого желания нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю, можно днс на самом микротике использовать

сейчас у меня так же используется.

Тогда ищите свой IP на http://openresolverproject.org/ и настраивайте Микротик так, чтобы ваш IP больше там не появлялся. Микротики "любят" релеить DNS для DDOS-атак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) У cisco есть TAC

У меня был прекрасный case, когда tac чинил фичу полгода, а потом еще год отлаживал стабильную работу.

Причем фича была широко разрекламирована, а по факту не работала совсем.

Т.е. покупая любую железку - знай, работает там нужный тебе функционал или нет.

 

Микротик я взял, подняли тестовую лабу, погоняли.. Работает. Уже 3 месяца стоит тазик и работает.

 

2) У cisco есть куча прошивок в которых с бОльшей долей вероятности можно найти стабильную

Это для базового функционала. То, что нужно мне, порою, в мановение ока ставится end of life или висит в tac вечно.

Я не поливаю за это циску дерьмом - просто все хотят кушать, желательно черную икру. Не стреляйте в таппера - он играет как может.

А вот мне микротики routing-package чинили полтора года. Они видите ли "по своему" прочитали rfc по ospf.

Если все будет так печально - сяду за руль и съезжу в Ригу :) Заодно шпрот прикуплю..

У меня полгода назад главный девелопер в одном из вендоров (широко известный в узуких кругах :) сошел с ума (в прямом смысле) и пришлось вообще с корнями выкидывать продукт.

Что поделать - мир несовершенен. Но благодаря этому продукту было заработано много денег - значит все ок.

А геморр у инженеров - это работа у них такая. Кто бы платил инженерам хорошую зарплату в валюте, если работает сразу и хорошо? :)

 

не 10к а 500(штук) на 951/751 и около 3к на 1100AHx2

Вот и проверю. Может быть и от 500 штук ложится - я же не спорю! Значит ограничу его списком задач, где нельзя иметь больше 500 рутов в ospf. Впрочем, почти нигде и нет столько..

 

А у меня есть, и? Всем надо под ваши задачи равняться или верить утверждениям что "микротик что-то там рвет" только потому что у вас таких задач нет?

А я призывал кого-то равняться на мои задачи?! Я делился интимными переживаниями из цикла "микротик и я". Если у Вас железка не прижилась, вовсе не значит, что она нигде не приживется.

Ну нет у меня места, где нужна даже 1000 рутов OSPF.

 

О да, с бгп там были свои приколы в ветках 5.4+ особенно с фильтрациями.... Сейчас не знаю да и эксперементировать особого желания нет.

Фильтров никаких навороченных не использую и не планирую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ssh! брут?! УВОЛИТЬ к хренам такого админа надо, незамедлительно!!! Нефиг светить SSH портом куда не следует, и подвергать сеть потенциальной опасности! Темболее когда речь идет о админке сетевого оборудования. Это знаете равносильно тому как светить манежмент порты какого нить хюлитовского свича в инет... это очень увлекательно, но довольно опасно :) Если ну ОООчень надо светить портом, есть масса средств защиты, как то порт-кнокинг, тунельки, занесение в блек-лист по правилу срабатывающиму с определенной частотой....

Порткнокинг - это не админский подход.

Держать ссш наружу с писюка нормально, в том плане что ссш всяко лучше впн любого, с кучи железок - не очень потому как хз насколько криво оно там.

 

А вот роутеры микротик делает отличные.

Посредственные, всё в этом мире уныло.

 

 

Всегда было интересно посмотреть на этот holy war (mikrotik vs all) изнутри, но ничего особенного я не увидел.

Ну вот и я ничего особенного не увидел, собственно щенячий восторг адептов и вымораживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Т.е. Вы ходите с телефоном с security flaws, которые никогда уже не будут исправлены и гордитесь этим? Оригинально.

Я хожу с 1,5 такими телефонами.

Старик хениум безмозглый в принципе, дыры там наверное есть, но в самом телефоне дороже записнухи ничего нет. Ну может ещё настройки хоткеев :)

Гандройдофон вообще большую часть временив режиме полёта и самое ценно там это список установлено из маркета софта и закладки вида: "дц" "пк" и пр в яндекс картах... Ну ещё там пароль от домашней вафли и гугль акка, если они извлекаемые.

 

Суммарная ценность инфы ниже цены старика хениума :)

Не вижу смысла вообще думать безопасности этих девайсов, тем более обновлять/менять их, вопрос решён в другой плоскости :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вероятно если влить в микротик 10 тыщ рутов через ospf - ему поплохеет.

поставьте его с парой десятков маршрутов, но несколькими area - ему тоже поплохеет...

 

BGP/mpls у микротика вполне работоспособно.

да-да работоспособно, пока фулвью не скармливать :D впрочем, как и с прочим функционалом - он вроде как и есть, но использовать его толком нельзя...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поставьте его с парой десятков маршрутов, но несколькими area - ему тоже поплохеет...

Будем проверять! Беру время на изучение вопроса.

 

да-да работоспособно, пока фулвью не скармливать :D впрочем, как и с прочим функционалом - он вроде как и есть, но использовать его толком нельзя...

Я проверил с 2 fullview - работает, но не быстро, скорее всего однотредовый процесс (там какая-нибудь перепиленная quagga, наверное?).

 

Не вижу смысла вообще думать безопасности этих девайсов, тем более обновлять/менять их, вопрос решён в другой плоскости :)

Мы же говорим, что там будет стоять anyconnect, с которым человек будет ходить на роутеры и править конфиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик я взял, подняли тестовую лабу, погоняли.. Работает. Уже 3 месяца стоит тазик и работает.

Ну как я и говорил, товарищ видел полтора микротика и рассказывает другим как это мега-стабильно. Цирк с конями.

 

Это для базового функционала. То, что нужно мне, порою, в мановение ока ставится end of life или висит в tac вечно.

Не надо прикрываться туманными фразами "то что мне нужно", тут не школота собралась и не админы локалхостов. У народа, тут задачи вполне серьезные. Я сомневаюсь например что вам _Нужно_ хоть десятая часть того, что у меня на ASRках 9k крутится.

 

Если все будет так печально - сяду за руль и съезжу в Ригу :) Заодно шпрот прикуплю..

Прелесть же, вот со шпротами вы оттуда и вернетесь. Только с ними. Сразу видно что у вас нет опыта общения с разработчиками микротика, бо там очень специфичные перцы.

А я призывал кого-то равняться на мои задачи?! Я делился интимными переживаниями из цикла "микротик и я". Если у Вас железка не прижилась, вовсе не значит, что она нигде не приживется.

А кто сказал что не прижилась. Я выше подробно расписывал место этой железки.

 

Фильтров никаких навороченных не использую и не планирую.

Ну и как всегда, "не использую, не планирую, у меня нигде больше 500 префиксов не будет" - классический синдром сааба. Если у меня заявленые фичи не работают - значит они не нужны (С) Сааб

 

Что ж, идите дальше "рвите" серьезное железо на локалхосте. А мы как-нибудь по-старинке циски, джуниперы, брокады...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как я и говорил, товарищ видел полтора микротика и рассказывает другим как это мега-стабильно. Цирк с конями.

Этот тазик давно окупился и тупо приносит деньги. И таки я Вам не товарищ :)

Циска окупалась бы еще несколько месяцев, а мне хочется Новый Год отметить..

 

Я сомневаюсь например что вам _Нужно_ хоть десятая часть того, что у меня на ASRках 9k крутится.

Зря сомневаетесь. Я телефонист: у меня основные image'и это c7200p-itpk9-mz.124-15.SW9.bin и c7svcsami-g8ik9s-mz.124-24.YE7.bin.

Но помимо этого, конечно, и обычные фичи нужны.

 

Прелесть же, вот со шпротами вы оттуда и вернетесь. Только с ними. Сразу видно что у вас нет опыта общения с разработчиками микротика, бо там очень специфичные перцы.

Посмотрим! По сравнению с сошедшими с ума девелоперами из Уругвая - любой здоровый человек вполне адекватен :)

 

Что ж, идите дальше "рвите" серьезное железо на локалхосте. А мы как-нибудь по-старинке циски, джуниперы, брокады...

Мне не интересны железки - мне деньги интересны. А микротик дешевле..

Железки мне надоели еще лет 12 назад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этот тазик давно окупился и тупо приносит деньги. И таки я Вам не товарищ :)

Потом, этот тазик в самый веселый момент скажет кря, и вы будете терять деньги в количествах равных стоимости пачки цисок.

 

Зря сомневаетесь. Я телефонист: у меня основные image'и это c7200p-itpk9-mz.124-15.SW9.bin и c7svcsami-g8ik9s-mz.124-24.YE7.bin.

Но помимо этого, конечно, и обычные фичи нужны.

Ну понятно, о роутерах вы знаете чуть менее чем нихуя. Зато с пеной у рта спорите.

 

 

Короче делаем выводы: Человек, имеющий полторы железки в продакшене и столько же на стенде, спорит с людьми которые имеют опыт и огромные инсталляции. И рассказывает что железка _на самом деле умеет_, а что нет.

Собственно это все что нам надо знать о фанах и "специалистах" микротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты просто еще не понял, что это тело заявилось в этот топик не ради поиска истины, у него же на лбу написано, чего ему надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты просто еще не понял, что это тело заявилось в этот топик не ради поиска истины, у него же на лбу написано, чего ему надо.

Ну а что? Продать? Так тут самая хреновая целевая аудитория, ибо специалисты и знают что почем.

Потроллить? Слишком тОлсто ввиду его общего уровня знаний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Мы же говорим, что там будет стоять anyconnect, с которым человек будет ходить на роутеры и править конфиг.

Гандройд, иос - это всё трудно назвать доверенными платформами, даже если ты это только что купил и там все апдейты есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.