Lynx10 Опубликовано 11 мая, 2010 (изменено) · Жалоба Есть подозрение на такую сигнатуру (ip[40:4]=0x00380000 and ip[44:4]=0x00010000)под Линукс так правильно ? iptables -I FORWARD 1 -m udp -p udp -m string --hex-string "|00 38 00 00 00 01 00 00|" --algo kmp --from 40 --to 47 -m statistic --mode random --probability 0.90 -j DROP трафик по этой сигнатуре шпарит ВАЛОМ! Изменено 11 мая, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gab Опубликовано 11 мая, 2010 · Жалоба Подскажите финальный вариант со всеми 3 сигнатурами. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 12 мая, 2010 · Жалоба по моим тестам достаточно только сигнатуры (ip[36:4]=0x00000000 and ip[40:4]=0x00380000), сигнатура с единичкой лишняя в данном случае. тест показал что: 1) Не существует пакетов которые попадают под сигнатуру (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) и не попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) 2) Существуют, хоть и в маленьком количестве пакеты, которые попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) и не попадают под (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 12 мая, 2010 (изменено) · Жалоба Еще есть вот такое добро: (ip[26:1]=0x1f and ip[36:1]=0x00 and ip[45:1]=0x00 and ip[46:2]=0x0202) замечено на 1.8.5 клиенте с uTP-only режимом работы Изменено 12 мая, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 12 мая, 2010 · Жалоба по моим тестам достаточно только сигнатуры (ip[36:4]=0x00000000 and ip[40:4]=0x00380000), сигнатура с единичкой лишняя в данном случае. тест показал что: 1) Не существует пакетов которые попадают под сигнатуру (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) и не попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) 2) Существуют, хоть и в маленьком количестве пакеты, которые попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) и не попадают под (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) Странно..У меня за несколько минут (менее 10) работы59149 3431K REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp STRING match "|0038000000010000|" ALGO name kmp FROM 40 TO 47 reject-with icmp-port-unreachable Я даже засомневался, может уже что-то полезное режем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 12 мая, 2010 · Жалоба P.S. Вот еще кое-что в тему нагуглиось. Судя по всему, придется еще и кол-во соединений ограничивать.. Например как это сделать для UDP чтобы получилось не слишком затратно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 12 мая, 2010 (изменено) · Жалоба что-то типа: ipfw add 1234 deny udp from table(123) to any out limit dst-addr 256 и по вкусу подкрутив net.inet.ip.fw.dyn_udp_lifetime Изменено 12 мая, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 12 мая, 2010 · Жалоба что-то типа:ipfw add 1234 deny udp from table(123) to any out limit dst-addr 256 и по вкусу подкрутив net.inet.ip.fw.dyn_udp_lifetime Огромное спасибо, но к сожалению/счастью Linux :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 12 мая, 2010 · Жалоба по моим тестам достаточно только сигнатуры (ip[36:4]=0x00000000 and ip[40:4]=0x00380000), сигнатура с единичкой лишняя в данном случае. тест показал что: 1) Не существует пакетов которые попадают под сигнатуру (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) и не попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) 2) Существуют, хоть и в маленьком количестве пакеты, которые попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) и не попадают под (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) Странно..У меня за несколько минут (менее 10) работы59149 3431K REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp STRING match "|0038000000010000|" ALGO name kmp FROM 40 TO 47 reject-with icmp-port-unreachable Я даже засомневался, может уже что-то полезное режем? у меня тоже не мало ....но полезное - врядли.... - что может быть полезное в таком количестве? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 12 мая, 2010 · Жалоба решил ли кто как зарезать это в микротике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 12 мая, 2010 · Жалоба решил ли кто как зарезать это в микротике? в теме уже было и не раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hiller Опубликовано 12 мая, 2010 · Жалоба Надо срочно зарезать весь хуUtorrent. Никто не представляет, как это сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
worky Опубликовано 12 мая, 2010 · Жалоба леер7 позволяет это сделать - там есть 2 сэмпла с разной нагрузкой на систему. вопрос только - как это поймут клиенты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 мая, 2010 · Жалоба Весь торрент не 100% но на 90% можно зарезать зафильтровав некоторые хттп заголовки, после этого клиент с трекерами работать не сможет, которые на стандартных портах весят, и ещё DTH останется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 12 мая, 2010 · Жалоба по моим тестам достаточно только сигнатуры (ip[36:4]=0x00000000 and ip[40:4]=0x00380000), сигнатура с единичкой лишняя в данном случае. тест показал что: 1) Не существует пакетов которые попадают под сигнатуру (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) и не попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) 2) Существуют, хоть и в маленьком количестве пакеты, которые попадают под (ip[36:4]=0x00000000 and ip[40:4]=0x00380000) и не попадают под (ip[40:4]=0x00380000 and ip[44:4]=0x00010000) Странно..У меня за несколько минут (менее 10) работы59149 3431K REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp STRING match "|0038000000010000|" ALGO name kmp FROM 40 TO 47 reject-with icmp-port-unreachable Я даже засомневался, может уже что-то полезное режем? Ну вы хоть бы читали повнимательнее что ли. Четко же написаны условия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SolarW Опубликовано 12 мая, 2010 · Жалоба решил ли кто как зарезать это в микротике?в теме уже было и не раз.Прочитал все странички темы.То, что было не раз для микротика позволяло резать пакеты содержащие 0x7FFFFFFFAB. Аналогичным методом добавить поиск 0x7FFFFFFF00032000 или 0x0038000000010000 не получается - микротик отказывается добавлять строки содержащие 0х00. Почему так - не совсем понятно. Несмотря на наличие приведенного материала сообразить одно универсальное правило которое позволит ловить пакеты содержащие любую из приведенных сигнатур не получается. Документация к микротику Pattern writing HOWTO Supported protocols Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 12 мая, 2010 · Жалоба Весь торрент не 100% но на 90% можно зарезать зафильтровав некоторые хттп заголовки, после этого клиент с трекерами работать не сможет, которые на стандартных портах весят, и ещё DTH останется. DHT вырезается на ура, пример рабочий есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 12 мая, 2010 · Жалоба Весь торрент не 100% но на 90% можно зарезать зафильтровав некоторые хттп заголовки, после этого клиент с трекерами работать не сможет, которые на стандартных портах весят, и ещё DTH останется.DHT вырезается на ура, пример рабочий есть. А что даст вырезание DHT?Поделитесь примерами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netj Опубликовано 12 мая, 2010 · Жалоба Господа админы/операторы, я правильно понимаю, что если все абоненты сети любого из операторов одновременно попытаются занять полностью полосу согласно положенной по тарифу, то у них это не получится, а у кого-то из операторов ляжет оборудование? Если есть такой оператор, у которого не ляжет - отзовитесь пожалуйста, чтобы я мог воспользоваться его услугами (можно в личку, чтобы ака в рекламе не обвинили). Благодарю за любые ответы, проливающие свет на положение дел по озвученным вопросам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 12 мая, 2010 · Жалоба Господа админы/операторы, я правильно понимаю, что если все абоненты сети любого из операторов одновременно попытаются занять полностью полосу согласно положенной по тарифу, то у них это не получится, а у кого-то из операторов ляжет оборудование?Если есть такой оператор, у которого не ляжет - отзовитесь пожалуйста, чтобы я мог воспользоваться его услугами (можно в личку, чтобы ака в рекламе не обвинили). Благодарю за любые ответы, проливающие свет на положение дел по озвученным вопросам. любой нормальный оператор не должен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netj Опубликовано 12 мая, 2010 · Жалоба любой нормальный оператор не должен Не должен, в смысле не должно лечь оборудование и должен суметь пропустить траффик (i/o) от полностью занятых полос каждым абонентом его сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
satboy Опубликовано 12 мая, 2010 · Жалоба любой нормальный оператор не долженНе должен, в смысле не должно лечь оборудование и должен суметь пропустить траффик (i/o) от полностью занятых полос каждым абонентом его сети? А полоса и так занимается, согласно договора у 99% операторов... НО паразитный трафик, создающий излишнюю нагрузку вырезается с корнем - без ухудшения полосы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netj Опубликовано 12 мая, 2010 · Жалоба А полоса и так занимается, согласно договора у 99% операторов...Здесь полоса, та, что физически имеется у оператора (тогда сходится), или, та, которая есть сумма проданных полос каждому абоненту сети оператора (тогда не сходится или я чего-то не понимаю)? НО паразитный трафик, создающий излишнюю нагрузку вырезается с корнем - без ухудшения полосы...Мм, скажем, клиент сделал распределённую систему и раздал код друзьям/товарищам. Они собрали код в модули и запустили, каждый на своём хосте с внешним ипом. Система работает так, что её трафик занимает всю полосу 24/7/365, отведённую каждому её хосту оператором. Трафик от этой распределённой системы будет паразитным? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 13 мая, 2010 · Жалоба Сеть оператора в любом случае не ляжет, у нас же в конце концов пакетная передача. Но вот деградировать качество услуг вполне может, и насколько сильно это другой вопрос. 99% что сумма проданных полос всем абонентам (физикам) и фактическая пропускная способность каналов не сойдется, и скорее всего разница довольно большой. Да вам любой оператор рад будет продать гарантированную полосу, что бы вы гонял там хоть 25/8/366, но только за совсем другие деньги, посмотрите на тарифы для юридических лиц ;) А за три рубля не стоит ожидать манны с небес, это глупо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 13 мая, 2010 · Жалоба Мм, скажем, клиент сделал распределённую систему и раздал код друзьям/товарищам. Они собрали код в модули и запустили, каждый на своём хосте с внешним ипом. Система работает так, что её трафик занимает всю полосу 24/7/365, отведённую каждому её хосту оператором. Трафик от этой распределённой системы будет паразитным? Раньше по теме уже была цитата по этому поводу из "Правил оказания ...", утвержденных министерством. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...