[Jazzy$]

Картинка подтверждает

[NiTr0]

Кстати, попутно вопрос: какие UDP порты обычно пользуются полезным софтом/играми?

Знаю, CS и иже с ним - обычно юзают диапазон с 27000-27030...

[blackjack]

растет ппс, собака

[XeonVs]

Кстати, попутно вопрос: какие UDP порты обычно пользуются полезным софтом/играми?

Знаю, CS и иже с ним - обычно юзают диапазон с 27000-27030...

http://portforward.com/cports.htm

[Умник]

Насколько удалось понять, "16 - tells uTorrent to use the new uTP header" говорит клиенту все-таки использовать хидер, описанный в BEP-29 (все новое - хорошо забытое старое). Почему-то первые реализации uTP напрочь не отвечали этому стандарту.

 

P.S.: Веселые ребята пишут BitTorrent.

[disappointed]

Попробуйте резать такую сигнатуру.

-A p2p -m udp -p udp -m string --hex-string "|7F FF FF FF 00 03|" --algo kmp --from 36 --to 41 -j DROP

[disappointed]

Или вот так

-A p2p -m udp -p udp -m string --hex-string "|7F FF FF FF 00 03 20 00|" --algo kmp --from 36 --to 43 -j DROP

Судя по всему новый хендшейк.

Изменено 15 апреля, 2010 пользователем disappointed

[blackjack]

как это перевести в программу для ng_bpf, объясните ктонить пожалуйста

http://www.opennet.ru/base/net/ng_bpf_build.txt.html

читал, читал но так до конца и не врубился

Изменено 15 апреля, 2010 пользователем blackjack

[Lynx10]

Или вот так

-A p2p -m udp -p udp -m string --hex-string "|7F FF FF FF 00 03 20 00|" --algo kmp --from 36 --to 43 -j DROP

Судя по всему новый хендшейк.

Что то под правило попадает - и достаточно активно (количество пакетов) - посморим будет лечить или нет..

[hiller]

Включил фильтр, посмотрим, что станет с PPS.

[Shturm_N]

6047K  369M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp STRING match "|7fffffffab|" ALGO name kmp FROM 40 TO 44
621K   31M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp STRING match "|7fffffff00032000|" ALGO name kmp FROM 36 TO 43
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp STRING match "|7fffffff0003|" ALGO name kmp FROM 36 TO 41

Примерно за ночь работы. Интерестно. Похоже до последнего правила уже ничего не долетает.

Изменено 16 апреля, 2010 пользователем Shturm_N

[disappointed]

Похоже до последнего правила уже ничего не долетает.

Так 7fffffff00032000 что выше это оно и есть, первый вариант я дал усечённый, потом заметил что хвост не менятся.

[Умник]

Кстати, у нас PPS почему-то расти не хочет.

[vitalyb]

Аналогично, бурного роста не видно...

 

[Shturm_N]

Аналогично, бурного роста не видно...

Видимо только начали обновляться клиенты. У меня пошел рост. Но не большой. Давлю в зародыше.

В принципе и пользователей у меня в этой сети мало. Всего то 1,5к и 100-110мбит трафика... Но и файловых ресурсов там мало. Потому много качков.

В прошлый раз на ровном месте пошли срывы трафика. Пропадал на 20-120 секунд канал.

[XeonVs]

У себя на внутренних трекерах и ретрекерах запретили 2.0 клиента. Поэтому так или иначе всем активным качкам пришлось откатываться на 1.х ветку.

 

ng_bgf программа под новую сигнатуру( "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000"):

 

bpf_prog_len=9 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=5 k=64 } { code=32 jt=0 jf=0 k=40 } { code=21 jt=0 jf=3 k=2147483647 } { code=32 jt=0 jf=0 k=44 } { code=21 jt=0 jf=1 k=204800 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ]

 

 

Изменено 16 апреля, 2010 пользователем XeonVs

[hiller]

Вот бы с rutracker.org договориться, чтобы они зафильтровали uTorrent...

[blackjack]

У себя на внутренних трекерах и ретрекерах запретили 2.0 клиента. Поэтому так или иначе всем активным качкам пришлось откатываться на 1.х ветку.

 

ng_bgf программа под новую сигнатуру( "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000"):

 

bpf_prog_len=9 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=5 k=64 } { code=32 jt=0 jf=0 k=40 } { code=21 jt=0 jf=3 k=2147483647 } { code=32 jt=0 jf=0 k=44 } { code=21 jt=0 jf=1 k=204800 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ]

чета нет матчей

[root@nas1 /home/admin]#    ngctl msg utp_filter_new: getstats \"main_new\"
Rec'd response "getstats" (3) from "[bd62]:":
Args:    { recvFrames=583893 recvOctets=44752664 xmitFrames=583893 xmitOctets=44752664 }

 

что пришло то и ушло

 

у меня вместилось в 8 инструкций

[root@nas1 /home/admin]# tcpdump -ddd "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000"
tcpdump: WARNING: igb0: no IPv4 address assigned
8
40 0 0 12
21 0 5 2048
32 0 0 54
21 0 3 2147483647
32 0 0 58
21 0 1 204800
6 0 0 96
6 0 0 0

 

походу должно быть вот так

 

bpf_prog_len=8 bpf_prog=[ { code=40 jt=0 jf=0 k=12 } { code=21 jt=0 jf=5 k=2048 } { code=32 jt=0 jf=0 k=54 } { code=21 jt=0 jf=3 k=2147483647 } { code=32 jt=0 jf=0 k=58 } { code=21 jt=0 jf=1 k=204800 } { code=6 jt=0 jf=0 k=96 } { code=6 jt=0 jf=0 k=0 }  ]

счас попробую

Изменено 16 апреля, 2010 пользователем blackjack

[dsk]

Программа не верная, ибо "ip[36:4]=0x7FFFFFFF" and "ip[40:2]=0x0003"

 

Изменено 16 апреля, 2010 пользователем dsk

[igrey]

Программа не верная, ибо "ip[36:4]=0x7FFFFFFF" and "ip[40:2]=0x0003"

А покажите пожалуйста код для ng_bpf.

[XeonVs]

у меня вместилось в 8 инструкций

[root@nas1 /home/admin]# tcpdump -ddd "ip[40:4]=0x7FFFFFFF and ip[44:4]=0x00032000"
tcpdump: WARNING: igb0: no IPv4 address assigned
8

так не правильно. При вызове из ipfw никаких L2 заголовков нет, чистый IP, то есть нужен фильтр под тип интерфейса DLT_RAW. Плюс я конечно поторопился и указал не верный стартовый офсет.

 

tcpdump -ddd -r dltraw.pcap "ip[36:4]=0x7FFFFFFF" and "ip[40:2]=0x0003"
reading from file dltraw.pcap, link-type RAW (Raw IP)
9
48 0 0 0
84 0 0 240
21 0 5 64
32 0 0 36
21 0 3 2147483647
40 0 0 40
21 0 1 3
6 0 0 65535
6 0 0 0

что эквивалентно:

bpf_prog_len=9 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=5 k=64 } { code=32 jt=0 jf=0 k=36 } { code=21 jt=0 jf=3 k=2147483647 } { code=40 jt=0 jf=0 k=40 } { code=21 jt=0 jf=1 k=3 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ]

Изменено 16 апреля, 2010 пользователем XeonVs

[blackjack]

спасибо большое

 

[root@nas1 /home/admin]#    ngctl msg utp_filter_new: getstats \"main_new\"
Rec'd response "getstats" (3) from "[d25c]:":
Args:    { recvFrames=669571 recvOctets=51826380 recvMatchFrames=111 recvMatchOctets=5638 xmitFrames=669436 xmitOctets=51819044 }

немного, но уже есть

[XeonVs]

Под циску, кому актуально, работает сейчас такое:

load protocol bootflash:ip.phdf
load protocol bootflash:udp.phdf

class-map type access-control match-all muTorrent-new
  match field UDP dest-port gt 88
  match start l3-start offset 36 size 8 regex "\x7F\xFF\xFF\xFF\x00\x03\x20\x00"
class-map type stack match-all ip_udp
  match field IP protocol eq 17 next UDP
class-map type access-control match-all muTorrent
  match field UDP dest-port gt 88
  match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"
!
policy-map type access-control muTorrentPM
class muTorrent
   drop
class muTorrent-new
   drop
policy-map type access-control FPM-PM
class ip_udp
   service-policy muTorrentPM

interface GigabitEthernet0/0/3
service-policy type access-control input FPM-PM
service-policy type access-control output FPM-PM

 

смотреть результат sh policy-map type access-control interface gigabitEthernet0/0/3

Изменено 19 апреля, 2010 пользователем XeonVs

[exeyp]

А кто-нибудь пробовал делать DSS ( Dynamic Signature Script ) для Cisco SCE?

 

[AntZ]

XeonVs

 

как изменилась после этого нагрузка на кошке?

и что за кошка?