[darkagent]

Да пока никак. Она это за торрент не считает. Вот пытаюсь ее обучить, что "это - торрент".

а обучить распозновать как DDoS атаку? ;)

 

[vitalyb]

Еще картинка, один из интерфейсов "до", "во время" и "после" + загрузка CPU.

[yura12345]

Правило для МТ если кому надо

 

/ip firewall layer7-protocol

add comment="" name="\B5TP" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"

/ip firewall mangle

add action=mark-connection chain=forward comment="" connection-state=new disabled=no \

layer7-protocol="\B5TP" new-connection-mark="\B5TP" passthrough=yes protocol=udp

add action=mark-packet chain=forward comment="" connection-mark="\B5TP" disabled=no \

new-packet-mark="\B5TP" passthrough=yes

/ip firewall filter

add action=drop chain=forward comment=\

"uTP uTorrent " disabled=no layer7-protocol=\

"\B5TP" packet-mark="\B5TP"

огромное спасибо! работает!

Интрестно а если сравнить вот с этим правилом для 2.9

add chain=forward protocol=udp content=яяя« action=drop comment="" \

disabled=no

 

У меня дело в том что МТ не 3-ей версии. Правило что выше звучит не для 2.9, как у меня. Но могу сказать что мое тоже работает...все ясно видно по ппс. Получается значит тож самое?

Изменено 26 февраля, 2010 пользователем yura12345

[Iva]

А вот ещё одно последствие uTP:

 

Начиная с момента выхода бета-версий клиента с новым протоколом, количество неагрегируемых netflow сессий стремительно растёт, соответственно пухнет и размер таблиц в базах. Планировали, что RAID-массива хватит до конца года, а сейчас, даже после срочного изменения структуры таблиц и сокращения размера базы в 2 раза, не уверены хватит ли места на дисках до лета.

[cmhungry]

Да пока никак. Она это за торрент не считает. Вот пытаюсь ее обучить, что "это - торрент".

а обучить распозновать как DDoS атаку? ;)

Чтобы показывать юзерам "у вас вирус"? А они будут рвать саппорт на британский флаг, как Жучка грелку?

 

Я думаю, что кол-во одновременных сессий по этой сигнатуре подрежу.

[darkagent]

Привыкайте строить неблокируемые сети. А то привыкли продавать клиентам то чего на самом деле нет:)

вот не совсем понятно что вы этим хотели сказать...

 

Чтобы показывать юзерам "у вас вирус"? А они будут рвать саппорт на британский флаг, как Жучка грелку?

ну у нас оно без выбрасываний страниц пользователям - втихую трап шлет об атаке, и регулирует сию ситуацию.

хотя уже тоже подумывали об предупреждалках.

 

Изменено 26 февраля, 2010 пользователем darkagent

[vIv]

(интересно, как себя сейчас чувствуют сети с топологией кольца и масштабами под тысячу абонентов на кольцо - считай вся нагрузка будет бегать через каждую железку подряд).

В кольцах - свичи. Свичам на PPS плевать, они последние годы wirespeed проктически каждый первый. Проблему ощутили хозяева софтовых маршрутизаторов.

 

Разница в том, что там по шапке больнее бьют и нет видимости работы: напряжение или есть или нет.

Вы бы вышли из серверной, - к обычным розеткам, да?

google "скачет напряжение"

[ingress]

ещё надо фильтровать 6to4 тунели, очень много пиров с IPv6

 

причём у этих пиров, я более чем уверен, не добровольно прописаны IPv6, а Виндой насильно сделаные с помощью тунелирования.

поэтому их прилично.

 

[zlobar]

ещё надо фильтровать 6to4 тунели, очень много пиров с IPv6

причём у этих пиров, я более чем уверен, не добровольно прописаны IPv6, а Виндой насильно сделаные с помощью тунелирования.

А вот интересно, "uTP-в-туннеле" бежит по IPv4 сети такими же мелкие пакетами?

 

[Ivan_83]

Ivan_83, исходя из Ваших постов, складывается мнение, что Вы абонент, у которого отняли что-то.

 

Объясните мне, пожалуйста, с какой стати я должен по щелчку чьих-то пальцев срочно тратить деньги?

 

Разве раньше плохо у абонентов качал торрент? Разве раньше они (абоненты) не имели возможность положить свой канал в полку? С введением uTP для конечного абонента ничего не изменилось.

 

Ну и следуя Вашей логике, давайте перестанем фильтровать спам, блокировать ботнеты (ну а что, не справляется железо - ну и лохи, должны были предугадать и иметь запас в тройном размере).

У меня ничего не изменилось.

Продавайте диалап, нафига все модернизации сети?

Раньше на диалапе так хорошо всё было...да..

 

 

Ivan_83, если вы еще не поняли - операторы занимаются зарабатыванием денег, а не благотворительностью. И если какой-то ***цкий протокол мешает этому процессу - то убивается протокол, а не выкидываются на помойку деньги. И если завтра ты напишешь криптохидер, вместо того, что б носить денежку оператору, то будешь вообще отключен от сети за нарушение законодательства.

Hint: Если ты о чем-то не знаешь, это не значит, что этого нет.

Такой тон, как будто пользователи и разработчики вам должны что то.

Вы деньги получаете откуда то ещё, не от пользователей?

Провайдеры если чё снизу, юзеры повыше, на верху разработчики.

Они чёнить придумывают и оно уходит юзерам, а уж провайдеры за юзерами подтирают сопли.

Не вижу связи между оплатой за свои каналы связи и внедрением криптооболочки против сигнатурного анализа траффика. Конституцию уже отменили?

 

в иркутске из-за дикого уровня коррупции нет нормального инета. так что лучше пожалей его. наверное худший по тарифам город сибири.

По области куда хуже :(

 

 

Ага... Т.е. резервы, заложенные на перспективу роста абонентской базы и роста объемов трафика, в количестве 30% - это типа фигня... Замечательно...

Вы только не учитываете, что эти 30% у всех разные (а абсолютном выражении).

Видимо о разных резервах.

Я иммел ввиду пропускную способность каналов в PPS а не в гигабитах. Полагаю всё планирование на будущее сводилось именно к дележу полосы аплинков в гигабитах/мегабитах, без учёта PPS.

И в данной ситуации просели не каналы а железо.

 

 

PS: есть теоретическое решение по детекту: все знакомые протоколы обрабатывать нормально, а незнакомый UDP куданибуть заворачивать с низким приоритетом.

Это вместо оффсетной привязки которую предлагали тут раньше.

Либо статистический анализ, только это ещё сложнее.

 

PPS: не видно что то в теме ярых адептов линукса и фри: или всё хорошо или нет времени на форум.

Изменено 26 февраля, 2010 пользователем Ivan_83

[vitalyb]

Я иммел ввиду пропускную способность каналов в PPS а не в гигабитах. Полагаю всё планирование на будущее сводилось именно к дележу полосы аплинков в гигабитах/мегабитах, без учёта PPS.

И в данной ситуации просели не каналы а железо.

Не хочется говорить банальность, но при относительно устоявшемся среднем размере пакета трафик растет вместе с pps. В текущей же ситуации резко и неожиданно изменился средний размер пакета и вся математика "уползла".

 

То же, но другими словами: считать по объему или пипиэсам - разницы нет, если нет сюрпризов. Как расчет по pps поможет с предсказанием того, что через неделю pps неожиданно вырастет на треть?

Изменено 26 февраля, 2010 пользователем vitalyb

[woddy]

Не хочется говорить банальность, но при относительно устоявшемся среднем размере пакета трафик растет вместе с pps.

что ты. для этого арифметику надо знать :)

[Konstantin Klimchev]

Вот такая вот жопа...

Я так понимаю, вы количество коннектов на абонента не лимитируете на ACEшке?

[inxs]

PPS: не видно что то в теме ярых адептов линукса и фри: или всё хорошо или нет времени на форум.

хз, всплесков нет

мб потому, что каналы в полку не загружены.

[ingress]

ещё надо фильтровать 6to4 тунели, очень много пиров с IPv6

причём у этих пиров, я более чем уверен, не добровольно прописаны IPv6, а Виндой насильно сделаные с помощью тунелирования.

А вот интересно, "uTP-в-туннеле" бежит по IPv4 сети такими же мелкие пакетами?

 

а вообще на аплинке тунелированного ipv6 очень мало, и это хорошо :)

 

[marikoda]

ещё надо фильтровать 6to4 тунели, очень много пиров с IPv6

 

причём у этих пиров, я более чем уверен, не добровольно прописаны IPv6, а Виндой насильно сделаные с помощью тунелирования.

поэтому их прилично.

teredo заметно интересней ;)

но легко блокируется (port 3544 UDP).

6to4 - фильтрацией proto41

Изменено 26 февраля, 2010 пользователем marikoda

[ingress]

6to4 - фильтрацией proto41

вот этим гиков и нердов точно можно разозлить по самое не балуйся :)

там можно вырезать туже самую сигнатуру с офсетом 95 байт от начала ;)

[marikoda]

6to4 - фильтрацией proto41

вот этим гиков и нердов точно можно разозлить по самое не балуйся :)

гикам открывать.

 

Реализуется элементарно - в личном кабинете галочка "защитить мой комп от интернета", по умолчанию включено. Фильтруются "лишние" порты и протоколы.

Гики сами отключают ее и остаются довольными.

[cmhungry]

Джентльмены! Кому здесь заплатить, чтобы забанили Ваню83?

А может, сетку ему положить? на недельку =)

 

шучу, да.

[AlKov]

Заблокировали uTP - стало лучше!

Хомяки заулыбались!

Именно так. Вот чисто субъективная невыдуманная история:

20 февраля мне позвонил знакомый "хомячок-качок" (мужик серъезный, торрентами не пользуется, качает с "летитбитов" и "депозитов") с таким вопросом - "что случилось?! Невозможно стало что-либо скачать более-менее объемное, скорость скачет от нуля до максимума, закачки обрываются..." Тогда я пробубнил что-то о возможных проблемах у магистралов..

24 февраля включил "конструкцию" от disappointed (pps упал на ~15%).

Сегодня встретил лично того самого знакомого. В разговоре "за жизнь" услышал от него очень интересную фразу - "что-то там "твои", видимо, наладили - сейчас все путем, закачки идут стабильно, скорость прям по тарифу" (512К). Что примечательно, я "наводящих вопросов" не задавал, человек просто поделился "своей радостью". Я осторожно поинтересовался, а когда же это так полегчало? Догадайтесь с трех раз, какой был ответ? ;)

Так-что "теорема" вида uTP=DDoS на текущий момент доказана пользователями и похоже, имеет шанс стать "аксиомой"...

 

P.S. Бордер и НАС софтовые, первый на Linux, второй на FreeBSD, аплинк небольшой (70-80Мбит), "полки" не было и нет. Кстати, по "Мбит" практически никаких изменений от установленного дропа uTP не увидел, ппс-ы, как уже и писал выше, упали на 15%, жалоб от пользователей не поступает. Единственно что пока непонятно, что ощутили "торрентщики". От них пока тишина.

[marikoda]

Однако...

http://en.wikipedia.org/w/index.php?title=...#Known_problems

http://ru.wikipedia.org/w/index.php?title=...497388#.C2.B5TP

Изменено 10 февраля, 2011 пользователем marikoda

[Ivan_83]

Единственно что пока непонятно, что ощутили "торрентщики". От них пока тишина.

У меня меньше половины пиров на uTorrent 2 и выше. У остальных либо 1.хх либо вообще не uTorrent.

Сколько из пиров с uTorrent 2 имеют доступный uTP сказать не могу, уверен что не все.

Те ещё можно ожидать роста количества пользователей с uTP протоколом.

 

 

PS: Специально обновил uTorrent до последней 2.х версии чтобы заценить uTP. Отключил TCP и основной торрент клиент (rTorrnet с вырезанной под корень консолью, только веб гуи).

Профита по скорости не заметил, наоборот, полезных данных было меньше (100-105 кбайт/сек против 108-115 на тсп).

PPS возрасло, где то с 750 до 1000 в пике.

Тюнить особо не пробовал, серфить тоже.

Возможно авторам протокола удастся поднять эффективность если одна сторона будет слать подряд пакеты среднего и большого размера с некоторыми интервалами, а принимающая будет изредка (раз в 5 сек/100 пакетов к прим) кидать в одном пакете пачку подтверждений о получении/не получении.

[Alx65]

а вообще на аплинке тунелированного ipv6 очень мало, и это хорошо :)

Один мой друг - он стоил двух... (с)

 

прав - на аплинке мало, но в целом, это отдельная эпопея - 6to4. Вряд-ли у кого-то в договоре прописано, что клиент может использовать только IPV4. А ведь поведение и жалобы клиентов у кого в стеке поднят ipv6 и запросы уходят как 6to4 - "не работает", "не открывается" и т.д. могут любой суппорт поставить в ступор, т.к. суппорт будет проверять v4...

 

Что с этим делать? Особенно учитывая, что у ^х[о,a]м_ов$ это бесознательно...

Изменено 26 февраля, 2010 пользователем Alx65

[McUrex]

....

могут любой суппорт поставить в ступор, т.к. суппорт будет проверять v4...

Что с этим делать? Особенно учитывая, что у ^х[о,a]м_ов$ это бесознательно...

Если Вы саппортите v6 где-то на предоставлении своих сервисов именно, то уже нет возможности допустить ступора у суппортов, afaik.

 

А по теме, меня сильно радует, что у нас большинство - юрики, мы пока вообще этого у себя не ощущаем.

Ну и огромное спасибо топикстартеру.

Изменено 27 февраля, 2010 пользователем McUrex

[zzeka]

Для Cisco тут ещё не видел:

Это на какой кошке?

7201

А трафику сколько?