Jazzy$ Опубликовано 15 апреля, 2010 · Жалоба Картинка подтверждает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 апреля, 2010 · Жалоба Кстати, попутно вопрос: какие UDP порты обычно пользуются полезным софтом/играми? Знаю, CS и иже с ним - обычно юзают диапазон с 27000-27030... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackjack Опубликовано 15 апреля, 2010 · Жалоба растет ппс, собака Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 15 апреля, 2010 · Жалоба Кстати, попутно вопрос: какие UDP порты обычно пользуются полезным софтом/играми?Знаю, CS и иже с ним - обычно юзают диапазон с 27000-27030... http://portforward.com/cports.htm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 15 апреля, 2010 · Жалоба Насколько удалось понять, "16 - tells uTorrent to use the new uTP header" говорит клиенту все-таки использовать хидер, описанный в BEP-29 (все новое - хорошо забытое старое). Почему-то первые реализации uTP напрочь не отвечали этому стандарту. P.S.: Веселые ребята пишут BitTorrent. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 15 апреля, 2010 · Жалоба Попробуйте резать такую сигнатуру. -A p2p -m udp -p udp -m string --hex-string "|7F FF FF FF 00 03|" --algo kmp --from 36 --to 41 -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 15 апреля, 2010 (изменено) · Жалоба Или вот так -A p2p -m udp -p udp -m string --hex-string "|7F FF FF FF 00 03 20 00|" --algo kmp --from 36 --to 43 -j DROP Судя по всему новый хендшейк. Изменено 15 апреля, 2010 пользователем disappointed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackjack Опубликовано 15 апреля, 2010 (изменено) · Жалоба как это перевести в программу для ng_bpf, объясните ктонить пожалуйста http://www.opennet.ru/base/net/ng_bpf_build.txt.html читал, читал но так до конца и не врубился Изменено 15 апреля, 2010 пользователем blackjack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 15 апреля, 2010 · Жалоба Или вот так-A p2p -m udp -p udp -m string --hex-string "|7F FF FF FF 00 03 20 00|" --algo kmp --from 36 --to 43 -j DROP Судя по всему новый хендшейк. Что то под правило попадает - и достаточно активно (количество пакетов) - посморим будет лечить или нет.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hiller Опубликовано 16 апреля, 2010 · Жалоба Включил фильтр, посмотрим, что станет с PPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shturm_N Опубликовано 16 апреля, 2010 (изменено) · Жалоба 6047K 369M DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp STRING match "|7fffffffab|" ALGO name kmp FROM 40 TO 44 621K 31M DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp STRING match "|7fffffff00032000|" ALGO name kmp FROM 36 TO 43 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp STRING match "|7fffffff0003|" ALGO name kmp FROM 36 TO 41 Примерно за ночь работы. Интерестно. Похоже до последнего правила уже ничего не долетает. Изменено 16 апреля, 2010 пользователем Shturm_N Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 апреля, 2010 · Жалоба Похоже до последнего правила уже ничего не долетает. Так 7fffffff00032000 что выше это оно и есть, первый вариант я дал усечённый, потом заметил что хвост не менятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 16 апреля, 2010 · Жалоба Кстати, у нас PPS почему-то расти не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 16 апреля, 2010 · Жалоба Аналогично, бурного роста не видно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shturm_N Опубликовано 16 апреля, 2010 · Жалоба Аналогично, бурного роста не видно...Видимо только начали обновляться клиенты. У меня пошел рост. Но не большой. Давлю в зародыше.В принципе и пользователей у меня в этой сети мало. Всего то 1,5к и 100-110мбит трафика... Но и файловых ресурсов там мало. Потому много качков. В прошлый раз на ровном месте пошли срывы трафика. Пропадал на 20-120 секунд канал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 16 апреля, 2010 (изменено) · Жалоба У себя на внутренних трекерах и ретрекерах запретили 2.0 клиента. Поэтому так или иначе всем активным качкам пришлось откатываться на 1.х ветку. ng_bgf программа под новую сигнатуру( "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000"): bpf_prog_len=9 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=5 k=64 } { code=32 jt=0 jf=0 k=40 } { code=21 jt=0 jf=3 k=2147483647 } { code=32 jt=0 jf=0 k=44 } { code=21 jt=0 jf=1 k=204800 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] Изменено 16 апреля, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hiller Опубликовано 16 апреля, 2010 · Жалоба Вот бы с rutracker.org договориться, чтобы они зафильтровали uTorrent... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackjack Опубликовано 16 апреля, 2010 (изменено) · Жалоба У себя на внутренних трекерах и ретрекерах запретили 2.0 клиента. Поэтому так или иначе всем активным качкам пришлось откатываться на 1.х ветку. ng_bgf программа под новую сигнатуру( "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000"): bpf_prog_len=9 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=5 k=64 } { code=32 jt=0 jf=0 k=40 } { code=21 jt=0 jf=3 k=2147483647 } { code=32 jt=0 jf=0 k=44 } { code=21 jt=0 jf=1 k=204800 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] чета нет матчей [root@nas1 /home/admin]# ngctl msg utp_filter_new: getstats \"main_new\" Rec'd response "getstats" (3) from "[bd62]:": Args: { recvFrames=583893 recvOctets=44752664 xmitFrames=583893 xmitOctets=44752664 } что пришло то и ушло у меня вместилось в 8 инструкций [root@nas1 /home/admin]# tcpdump -ddd "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000" tcpdump: WARNING: igb0: no IPv4 address assigned 8 40 0 0 12 21 0 5 2048 32 0 0 54 21 0 3 2147483647 32 0 0 58 21 0 1 204800 6 0 0 96 6 0 0 0 походу должно быть вот так bpf_prog_len=8 bpf_prog=[ { code=40 jt=0 jf=0 k=12 } { code=21 jt=0 jf=5 k=2048 } { code=32 jt=0 jf=0 k=54 } { code=21 jt=0 jf=3 k=2147483647 } { code=32 jt=0 jf=0 k=58 } { code=21 jt=0 jf=1 k=204800 } { code=6 jt=0 jf=0 k=96 } { code=6 jt=0 jf=0 k=0 } ] счас попробую Изменено 16 апреля, 2010 пользователем blackjack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 16 апреля, 2010 (изменено) · Жалоба Программа не верная, ибо "ip[36:4]=0x7FFFFFFF" and "ip[40:2]=0x0003" Изменено 16 апреля, 2010 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
igrey Опубликовано 16 апреля, 2010 · Жалоба Программа не верная, ибо "ip[36:4]=0x7FFFFFFF" and "ip[40:2]=0x0003" А покажите пожалуйста код для ng_bpf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 16 апреля, 2010 (изменено) · Жалоба у меня вместилось в 8 инструкций [root@nas1 /home/admin]# tcpdump -ddd "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000" tcpdump: WARNING: igb0: no IPv4 address assigned 8 так не правильно. При вызове из ipfw никаких L2 заголовков нет, чистый IP, то есть нужен фильтр под тип интерфейса DLT_RAW. Плюс я конечно поторопился и указал не верный стартовый офсет. tcpdump -ddd -r dltraw.pcap "ip[36:4]=0x7FFFFFFF" and "ip[40:2]=0x0003" reading from file dltraw.pcap, link-type RAW (Raw IP) 9 48 0 0 0 84 0 0 240 21 0 5 64 32 0 0 36 21 0 3 2147483647 40 0 0 40 21 0 1 3 6 0 0 65535 6 0 0 0 что эквивалентно: bpf_prog_len=9 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=5 k=64 } { code=32 jt=0 jf=0 k=36 } { code=21 jt=0 jf=3 k=2147483647 } { code=40 jt=0 jf=0 k=40 } { code=21 jt=0 jf=1 k=3 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] Изменено 16 апреля, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackjack Опубликовано 16 апреля, 2010 · Жалоба спасибо большое [root@nas1 /home/admin]# ngctl msg utp_filter_new: getstats \"main_new\" Rec'd response "getstats" (3) from "[d25c]:": Args: { recvFrames=669571 recvOctets=51826380 recvMatchFrames=111 recvMatchOctets=5638 xmitFrames=669436 xmitOctets=51819044 } немного, но уже есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 16 апреля, 2010 (изменено) · Жалоба Под циску, кому актуально, работает сейчас такое: load protocol bootflash:ip.phdf load protocol bootflash:udp.phdf class-map type access-control match-all muTorrent-new match field UDP dest-port gt 88 match start l3-start offset 36 size 8 regex "\x7F\xFF\xFF\xFF\x00\x03\x20\x00" class-map type stack match-all ip_udp match field IP protocol eq 17 next UDP class-map type access-control match-all muTorrent match field UDP dest-port gt 88 match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" ! policy-map type access-control muTorrentPM class muTorrent drop class muTorrent-new drop policy-map type access-control FPM-PM class ip_udp service-policy muTorrentPM interface GigabitEthernet0/0/3 service-policy type access-control input FPM-PM service-policy type access-control output FPM-PM смотреть результат sh policy-map type access-control interface gigabitEthernet0/0/3 Изменено 19 апреля, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 19 апреля, 2010 · Жалоба А кто-нибудь пробовал делать DSS ( Dynamic Signature Script ) для Cisco SCE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AntZ Опубликовано 21 апреля, 2010 · Жалоба XeonVs как изменилась после этого нагрузка на кошке? и что за кошка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...