myth Опубликовано 11 января, 2017 · Жалоба На нас за вариант "заворачивать все к себе" несколько раз подавали жалобу в соответствующие надзорные организации. по какому поводу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2017 · Жалоба Уверен? Сеть посканируй или тут почитай: https://www.corero.c...analytics-.html Ну только если для амплификаций. Читать не буду, я сам его реализовывал :) а ещё лучше редиректить все запросы на свой DNS, приняв там соответствующие меры. Не лучше. Это совет из серии: людей лучше убивать сразу, ибо как бы чего не натворили, а дело это не хитрое. Те если ты что то можешь и думаешь что это к лучшему для других то лучше подумай ещё, потому что всегда найдутся те кому от этого станет хуже. Собственно такие умники уже доигрались с HTTP. На нас за вариант "заворачивать все к себе" несколько раз подавали жалобу в соответствующие надзорные организации. Так что на свой страх и риск. Прально сделали, нефик. DNS лучше не полисить Лучше правильно полисить. Нужно полисить запросы которые идут к абоненту из инета. Ответы из инета и запросы от абонента трогать не нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 января, 2017 · Жалоба Прально сделали, нефик. кому от этого стало плохо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2017 · Жалоба кому от этого стало плохо? Всем кто пользовался чем то кроме провайдерского днс. Мне лично всякие 8.8.8.8 нравятся ещё меньше провайдерских, но провайдерские бывает лежат. У меня лично unbound который сам рекурсию делает и мне провайдер со своими не нужен, особенно если он пихает туда заглушки РКН. Ещё я иногда траблшутю днс, и для этого мне нужно опрашивать произвольные днс сервера произвольным образом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 12 января, 2017 · Жалоба Прально сделали, нефик. Солидарен, я тоже против таких вещей. Лучше правильно полисить. Нужно полисить запросы которые идут к абоненту из инета. Ответы из инета и запросы от абонента трогать не нужно. Если имеется в виду смотреть на номера src/dst портов, то: 1) Я пару раз видел как с soho роутеров летят запросы с udp/53 на udp/53. Видимо там работает какая-то самопальная реализация рекурсивного DNS. 2) Бывают атаки снаружи также с udp/53 на udp/53. Это уже явно сделано специально чтобы с ответами на запрос абонента путали и пропускали без преград. Потенциально придется внутрь каждого пакета залезать из-за таких господ, по порту-то хрен разберешь в какую сторону запрос идет. В таком случае шейпинг может выйти проще и дешевле, пусть даже выглядит костыльно и некрасиво. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 января, 2017 · Жалоба особенно если он пихает туда заглушки РКН угу, если пихает посредством DPI это что-то меняет? Ещё я иногда траблшутю днс, и для этого мне нужно опрашивать произвольные днс сервера произвольным образом. Кому надо - по заявлению откроем, не проблема Словили пару раз амплификацию. Спасибо, больше не хотим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2017 · Жалоба Потенциально придется внутрь каждого пакета залезать из-за таких господ, по порту-то хрен разберешь в какую сторону запрос идет. В таком случае шейпинг может выйти проще и дешевле, пусть даже выглядит костыльно и некрасиво. Придётся, не вижу тут никаких сложностей. угу, если пихает посредством DPI это что-то меняет? Будете ещё хернёй страдать - вообще начнёте видеть одну только крипту и сможете своим ДПИ и дальше греть воздух. Не уже ли не понятно что подобные перегибы и приводят к тому что вас опускают на уровень совсем тупой трубы которой не известно что там происходит. Словили пару раз амплификацию. Спасибо, больше не хотим. Профилактика насморка эвтаназией, весьма оригинально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 12 января, 2017 · Жалоба Нашел на просторах интернета ограничение на ICMP. policy-map POLICY class ICMP police 64000 4000 4000 conform-action transmit exceed-action drop И вот озадачился двумя вопросоми. 1. В классе ICMP нормальная скрость 64000, а что значит остальные два значения? 2. Это правило работает индивидуально для каждого хоста, т.е. с каждого IP можно гнать до 64000 или это скорость на весь интерфейс и без ризницы со скольких уникальных IP были запросы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
moonfire Опубликовано 12 января, 2017 · Жалоба В классе ICMP нормальная скрость 64000, а что значит остальные два значения? Параметры BC (Burst Commit) BE(Burst Exceed). Их настройка влияет на обработку взрывного трафика в сети, и как правило, без сильной необходимости не требуется(рассчитывается самим оборудованием). Но, грубо говоря, это кол-во бит, которое может быть передано за некоторое время Tc. Это время рассчитывается из первого параметра. В данном случае 4000/64000 = 0,06с. Т.е. каждые 60мс можно передать не больше 4 кбит, остальное отбрасывается. Как-то так Это правило работает индивидуально для каждого хоста, т.е. с каждого IP можно гнать до 64000 или это скорость на весь интерфейс и без ризницы со скольких уникальных IP были запросы? на весь интерфейс на который повешен полиси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 января, 2017 · Жалоба Будете ещё хернёй страдать - вообще начнёте видеть одну только крипту и сможете своим ДПИ и дальше греть воздух. есть предложения лучше? Платить бесконечные штрафы? Расстаться с лицензией? ну будет https, что изменится? Ну останется из вариантов только блокировка по ip или домену. И все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2017 · Жалоба Вам РКН сказано блочить вот те сайты/ип. Какого хера вы блочите ДНС? Даже просто технически нет никаких проблем с заворотом трафика на определённые ип адреса куда захочется, те днс трогать вообще смысла нет. Если ты не понял то: 1. https = tls уже есть, скоро епанафты браузеропейсатели сделают его мастхэв. 2. скоро будет dnss Будешь дальше продолжать страдать синдромом вахтёра *s станет ещё больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 12 января, 2017 · Жалоба 2. скоро будет dnss unbound уже сегодня расчудесно рпссказывает, что "какое-то чудо не дает мне валидные рутовые зоны, я пошел посплю". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 12 января, 2017 · Жалоба Если ты не понял то: 1. https = tls уже есть, скоро епанафты браузеропейсатели сделают его мастхэв. Уже. http/2 во всех браузерах поголовно только поверх tls поддерживается, хоть в стандарте и сказано что шифрование необязательно. К тому же теперь let'sencrypt позволяет получать сертификаты бесплатно и без лишних телодвижений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2017 · Жалоба Так и я про тоже. И мне лично это не нравится. Но это единственная реакция/отличный повод на толпы неадекватов которые лезут в юзерский трафик и делают всякие пакости. При этом такие люди не осознают своего места в пищевой цепочке и мнят себя богами интернета и технологий. А потом всяким гуглам надоедает и они их опускают на землю и ниже. Притом гугл защищает своё бабло и влияние, а остальные, особенно мелкие, просто безмозглые подражатели моде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 января, 2017 (изменено) · Жалоба Вам РКН сказано блочить вот те сайты/ип. вот и блочим. Почему бы блокировку по домену или маске домена не делать средствами днс? У РКН претензий нет. Даже просто технически нет никаких проблем с заворотом трафика на определённые ип адреса куда захочется Сам пробовал? Или так, общие слова? Блокированные сайты очень часто меняют ip. Намного чаще, чем ркн их правит в выгрузке. Самостоятельный резолв несколько улучшает положение, но не более(тратить ресурсы на резолв всего списка чаще раза в час не вижу смысла). Пропуски есть. Много. Следствие - есть претензии от ркн. А с ютубом это и вовсе не работает. Загонять все ip гугла, или весь 80 порт на сервер с блокировками = выстрелить себе в ногу. Вот блокировать все по ip - это очень плохо, да. Изменено 12 января, 2017 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 12 января, 2017 · Жалоба Сам пробовал? Или так, общие слова? Блокированные сайты очень часто меняют ip. Намного чаще, чем ркн их правит в выгрузке. Самостоятельный резолв несколько улучшает положение, но не более Если http - то нормальному dpi пофиг и резолвер и IP, ловится-анализируется запрос get. Если https - тут сложнее, но вот в другой теме алибек написал, что скат просто отлавливает сертификат сайта, и если блоченый домен там - просто сбрасывает соединение. И в результате, я никаких манипуляций с днс и тем более ревизором не делаю. Ну и по ip давно не блочу - бессмысленно. Претензий тоже не имею. Ну если конечно касаться различного зла, то наверное нам надо просто прикупить расширение лицензии от ската, и пользоваться его функциями как dpi побольше мизулиной... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 января, 2017 · Жалоба Ну и по ip давно не блочу - бессмысленно т.е не соблюдаешь blocktype=ip? Нормальный DPI мы со своими 1500 абонов будем отбивать вечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 12 января, 2017 · Жалоба Ну и по ip давно не блочу - бессмысленно т.е не соблюдаешь blocktype=ip? Нормальный DPI мы со своими 1500 абонов будем отбивать вечно. Не соблюдаю лично, у меня для этого dpi entry давно купленный, служит как верная собака. Просто купили у нага в своё давнее время бандл, и не паримся. Ну, кроме своевременной оплаты техподдержки конечно. Я вроде не идиот, пытался без дпи отбиваться своими силами, потом силы кончились. Мне 55 лет и я хочу ночью спать спокойно :) Даже во времена барабашек, при нормальных отношениях с ркн, моя метода блочения давала пропуски, увы. Я неспособен написать нормальный dpi, и уж тем-более, его сопровождать. Насчёт отбивать вечно - это ещё ерунда, вот яровую придется вечно отбивать, с петабайтами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2017 · Жалоба Почему бы блокировку по домену или маске домена не делать средствами днс? У РКН претензий нет. Их нет по блокировкам, а когда абоненты пожалуются то будут. Потому что я выше написал, вы своим заворотом днс трафика на себя ломаете людям интернет. Сам пробовал? Или так, общие слова? Блокированные сайты очень часто меняют ip. Намного чаще, чем ркн их правит в выгрузке. Самостоятельный резолв несколько улучшает положение, но не более(тратить ресурсы на резолв всего списка чаще раза в час не вижу смысла). Пропуски есть. Много. Следствие - есть претензии от ркн. Я не провайдер и никому ничего блокировать не собираюсь, ровно как и помогать в этом, я об этом тут писал когда ещё барыги только искали програмеров писать скат а до всей темы в продакшене был год+. Но в своё время я аккуратно заворачивал запросы к торрент трекерам на свой специальный прокси, который в общем то негативных воздействий не оказывал, скорее позитивные - выдавая по больше локальных пиров. Там как раз была пара скриптов: они резолвили домены со списка, клали их файл, а дальше этот файл подгружался в ипсет таблицу, и правило с ней весь траф пересылало на наш сервер. Нормальный DPI мы со своими 1500 абонов будем отбивать вечно. Открою тебе страшную тайну: распарсить TLS заголовок на предмет SNI совсем не сложно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 января, 2017 · Жалоба Я не провайдер и никому ничего блокировать не собираюсь, ровно как и помогать в этом ясно. Потому что я выше написал, вы своим заворотом днс трафика на себя ломаете людям интернет. Что сломалось у рядового юзера при этом? Вирусы, подменяющие днс работать перестали? В ботнете мешаем участвовать? Но в своё время я аккуратно заворачивал запросы к торрент трекерам на свой специальный прокси, который в общем то негативных воздействий не оказывал, скорее позитивные - выдавая по больше локальных пиров. двойные стандарты во всей красе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 января, 2017 · Жалоба Что сломалось у рядового юзера при этом? Вирусы, подменяющие днс работать перестали? В ботнете мешаем участвовать? У меня лично unbound который сам рекурсию делает и мне провайдер со своими не нужен, особенно если он пихает туда заглушки РКН. Ещё я иногда траблшутю днс, и для этого мне нужно опрашивать произвольные днс сервера произвольным образом. Твои манипуляции с днс тоже самое что фильтрация ICMP в конечном счёте. двойные стандарты во всей красе? В нашем случае хомяк не лишался никаких возможностей, единственно что раздачи могли немного просесть (хомячковый софт сам должен был подключатся к качающим), в то время как скачивание могло весьма резко вырастать по скорости. Притом в том что раздачи проседали была вина самих трекеров, ибо это они часто игнорировали ip в урле и x-original-ip заголовок, мы это честно отдавали трекерам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 января, 2017 · Жалоба Ещё я иногда траблшутю днс, и для этого мне нужно опрашивать произвольные днс сервера произвольным образом. сколько процентов хомяков это делает? Твои манипуляции с днс тоже самое что фильтрация ICMP в конечном счёте. нет, не тоже самое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 января, 2017 · Жалоба Опять скатились к проблемам абстрактного юзера. Ну не даю я всем подряд реальники. Только за деньги. Хоть опрос учуждай. Тема простая - для чего ? Ответы просты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 января, 2017 · Жалоба сколько процентов хомяков это делает? Не твоё это дело. Сколько процентов хомяков ходит на nag.ru? Давай отключим. И так далее. нет, не тоже самое Ты сломал диагностику как руками так и вероятно ту что в венде. Ты сломал возможность использования всяких скай/яндекс/опен днс для организации детского инета и фильтрации мусора. Ты сломал возможность пользоваться чужими рекурсерами, в случае если твои вдруг сдохнут. Опять скатились к проблемам абстрактного юзера. Ну не даю я всем подряд реальники. Только за деньги. Хоть опрос учуждай. Тема простая - для чего ? Ответы просты. Реальники к фильтрации ортогональны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 13 января, 2017 · Жалоба В классе ICMP нормальная скрость 64000, а что значит остальные два значения? Параметры BC (Burst Commit) BE(Burst Exceed). Их настройка влияет на обработку взрывного трафика в сети, и как правило, без сильной необходимости не требуется(рассчитывается самим оборудованием). Но, грубо говоря, это кол-во бит, которое может быть передано за некоторое время Tc. Это время рассчитывается из первого параметра. В данном случае 4000/64000 = 0,06с. Т.е. каждые 60мс можно передать не больше 4 кбит, остальное отбрасывается. Как-то так Это правило работает индивидуально для каждого хоста, т.е. с каждого IP можно гнать до 64000 или это скорость на весь интерфейс и без ризницы со скольких уникальных IP были запросы? на весь интерфейс на который повешен полиси. Вот тут совсем запутался... 1. Если значения явным образом не указаны, есть ли формула по которой оборудование рассчитывает Burst Commit и Burst Exceed. 2. police 64000 4000 4000 В данном случае 4000/64000 = 0,06с. Т.е. каждые 60мс можно передать не больше 4 кбит Т.е. это постоянная выделенная полоса для правила? Или это выделенная полоса для взрывного трафика? 3. Коллега andryas, написал: Полосу для DNS смысла резать немного, там трафик мизерный. Даже 128KBpS на клиента - c головой хватит. Рейт надо резать Возник вопрос, как это сделать? Т.к. если через policy-map, то ограничение будет не на пользователя а на интерфейс? И получается, что если 100 пользователей выйдет через данный интерфейс, получается 100/128=0,8KBpS. Что весьма печальная картина.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...