eth1 Posted September 3, 2013 Posted September 3, 2013 Доброго времени суток.У провайдера на порт абонентов прилетают PADI от таких-же абонентов. Вопрос такой: это из-за топологии кольцо (или гирлянда) когда на пути к центру пакеты через неуправляемые свичи сыпятся всем подряд? Или это тополгия звезда, а на агрегации все дома воткнуты в ненастроенный должным образом (наврятли там неуправлямеый) свич и получается что PADI с дома идут до свича агрегации, а оттуда сыпятся всем остальным домам на этом свиче? Вставить ник Quote
srg555 Posted September 3, 2013 Posted September 3, 2013 вариантов много, все что Вы перечислили возможны Вставить ник Quote
NiTr0 Posted September 3, 2013 Posted September 3, 2013 У провайдера на порт абонентов прилетают PADI от таких-же абонентов. И что? Бродкаст - он такой, сыпется на все порты. И не все провы фильтруют на свичах все ненужное конечному пользователю... Вставить ник Quote
eth1 Posted September 3, 2013 Author Posted September 3, 2013 (edited) У провайдера на порт абонентов прилетают PADI от таких-же абонентов. И что? Бродкаст - он такой, сыпется на все порты. И не все провы фильтруют на свичах все ненужное конечному пользователю... Бродкаст, значит пусть лезет во все дыры?=) Вы случаем не заведуете пионернетом? Одно дело, когда такая дрянь во влане на юзера, другое дело РРРоЕ пров+локалка в наличии, где не режут левые РРРоЕ и DHCP сервера.Поэтому нормальные провы-фильтруют.Все остальные надеятся, что среди пользователей не будет шибко умных.Потому что результат использования этих дыр зависит только от фантазии у "конечного пользователя".А чтобы не быть голосовным; например Ростелеком и ЭР-Телеком (скажем прямо, не самые крутые провайдеры) фильтруют всё даже в пределах одного свича. Из-зы лимита постов отвечу тут: ТТК в иркутске не фильтрует броадкасты пппое-шныеТТК это ТрансТелеком? Про них не в курсе.А задержка на кол-во попыток авторизации у нас в Ростелекоме тоже есть.Как я понял, это у них на BRASe. Вот у меня на лестничной площадке, у хер-телеком стоит DES-1008. Это не временный вариант, а так и было изначально. Такой же коммутатор стоит на 6 этаже. И так во всех 14-ти подъездах дома. Правда, некоторые уже перепаяны (некоторые). Расскажите ка мне, как это они фильтруют броадкасты?Вас могу поздравить-у вас провайдер (филиал) нищеброд.Я говорил про своих ЭРов.Сеть у них 2011 года.У Ростелекома оптика появилась ещё в в 2009, если не ошибаюсь.У моих "героев" же сеть 2004 года, но с кем пор вроде как модернизировалась...По большей части модернизация коснулась ядра и агрегации. Или же банальная проверка наличия сторонних дхцп/пппое серверов, + блокирование гадящего абона.Тем у кого L2 в таком состоянии-насрать на абонентов изначально.Им нет дела до всяких проверок.Только если по факту жалоб. Edited September 4, 2013 by eth1 Вставить ник Quote
Ivan_83 Posted September 4, 2013 Posted September 4, 2013 ТТК в иркутске не фильтрует броадкасты пппое-шные. Арп и ип вроде фильтровали. Ещё у них порт сек был включён на 1 мак %) Вставить ник Quote
Alteron Posted September 4, 2013 Posted September 4, 2013 А чтобы не быть голосовным; например Ростелеком и ЭР-Телеком (скажем прямо, не самые крутые провайдеры) фильтруют всё даже в пределах одного свича. Вот у меня на лестничной площадке, у хер-телеком стоит DES-1008. Это не временный вариант, а так и было изначально. Такой же коммутатор стоит на 6 этаже. И так во всех 14-ти подъездах дома. Правда, некоторые уже перепаяны (некоторые). Расскажите ка мне, как это они фильтруют броадкасты? Вставить ник Quote
NiTr0 Posted September 4, 2013 Posted September 4, 2013 Поэтому нормальные провы-фильтруют.Все остальные надеятся, что среди пользователей не будет шибко умных. Или же банальная проверка наличия сторонних дхцп/пппое серверов, + блокирование гадящего абона. Или просто пров не заморачивается. Ибо смысла нет. Т.к. если и найдется 1 хацкер на 10000 абонов - и то хорошо. Вставить ник Quote
srg555 Posted September 4, 2013 Posted September 4, 2013 Поддержу eth1 и не соглашусь с "коллегами по цеху" Получать чужие бродкасты это не нормально. Ну ладно, если сеть на мыльницах и нет тех.возможности это сделать, но когда нет L2-изоляции межабонентского трафика на управляемом оборудовании, то это уже наводит на мысли о квалификации админов. Чем больше защиты предусмотрено самим дизайном, тем лучше работает ваша сеть. А когда люди изобретают велосипеды в виде arpwatch-ей, занимаются поиском левых dhcp/pppoe-серверов какими-то извращёнными средствами, то это лишь показатель того, что не выросли из самоучек локал-админов с ужасающими L2-доменами в специалистов isp. Вставить ник Quote
Negator Posted September 4, 2013 Posted September 4, 2013 но когда нет L2-изоляции межабонентского трафика на управляемом оборудовании, то это уже наводит на мысли о квалификации админов. стоп. Это Ethernet со всеми вытекающими. Броадкасты в их числе. Изолировать -это хороший тон, не более того. Ну уж точно никто не обязан это делать в обязательном порядке. К тому же если изолировать полностью - локалки тоже не будет. Вставить ник Quote
EShirokiy Posted September 4, 2013 Posted September 4, 2013 Negator, мне кажется, локалка в привычном понимании уже атавизм Вставить ник Quote
srg555 Posted September 4, 2013 Posted September 4, 2013 К тому же если изолировать полностью - локалки тоже не будет. arp-proxy и всё у вас будет. Изолировать -это хороший тон, не более того. Ну уж точно никто не обязан это делать в обязательном порядке. в принципе, никто никому ничего не обязан, такая позиция мне нравится. но мы же обсуждаем как делать правильно(максимальный аптайм, минимум взаимовлияния и т.д.), а не как делать через пятую точку и потом ловить абонентов-вредителей(при том, в 99% это не хакеры, а кривые cpe, случайные петли и т.д.) стоп. Это Ethernet со всеми вытекающими. Броадкасты в их числе. Ну вы определитесь что у вас за сеть - операторская или локальная предприятия/домашняя, со всеми вытекающими относительно ethernet Negator, мне кажется, локалка в привычном понимании уже атавизм Единственное место, где нужно локалка в ISP это IX. И то иногда жалуется "что за уроды подливают нам исходняк?" Остальные применения традиционных ethernet локалок это домашние сети(внутри домохозяйства), предприятий(со своими нюансами), подключение серверов(сервисов), обобщая, локалка это множество trusted устройств Вставить ник Quote
EShirokiy Posted September 4, 2013 Posted September 4, 2013 Остальные применения традиционных ethernet локалок это домашние сети(внутри домохозяйства), предприятий(со своими нюансами), подключение серверов(сервисов), обобщая, локалка это множество trusted устройств исчерпывающий комментарий, полностью согласен не понимаю, зачем не использовать функционал железа, если условия позволяют?) Вставить ник Quote
srg555 Posted September 4, 2013 Posted September 4, 2013 EShirokiy они пытаются построить "оптимальную коммутацию и маршрутизацию", что "не гнать трафик через центр"(в самом деле, точку терминирования, что в общем случае != центр). такие сети(без L2-изоляции) принято называть L2-помойками Вставить ник Quote
NiTr0 Posted September 4, 2013 Posted September 4, 2013 не понимаю, зачем не использовать функционал железа, если условия позволяют? Если стоит одна модель везде - ладно, пофиг. Если штук 5 моделей одного вендора - ну пускай терпимо еще. Если стоит десяток-другой моделей разных вендоров по сети, и при этом некоторые вообще не умеют ACL, а некоторые умеют но бажно - то накой рвать анус на британский флаг, делая всенепременно строгую изоляцию между клиентами (дабы никто не пукнул в сегменте на 30-50 юзеров)? А тем более - в случае PPPoE, которому страшен разве что "левый" сервер (владелец которого легко находится и анально показательно карается в сколь-либо управляемой сети)? Вставить ник Quote
srg555 Posted September 4, 2013 Posted September 4, 2013 (edited) NiTr0 зачем ACL? порт-изоляция(трафик-сегментация) есть на всех управляемых свитчах, что я видел (про websmart не помню, там может и нет) владелец которого легко находится и анально показательно карается в сколь-либо управляемой сети это типа вместо зрелищ такое практикуют в Украине? хм... надо будет съездить как-нибудь в отпуск к вам, посмотреть на это шоу Edited September 4, 2013 by srg555 Вставить ник Quote
eth1 Posted September 4, 2013 Author Posted September 4, 2013 (edited) А тем более - в случае PPPoE, которому страшен разве что "левый" сервер (владелец которого легко находится и анально показательно карается в сколь-либо управляемой сети)? "Да кто же его посадит, он же памятник в не управляемом сегменте?)) Во всяком случае из тех 10 свичей, что были найдены (DES-2108), у всех были дефолтные настройки.Да и ACL они не умеют.Все остальные скорее всего вобще неуправляшки.Поэтому если не гонять круглыми сутками такой сервер, как на скрине (слева лог сервера, справа свежие аккаунты ВК), мешая юзерам нон-стоп, то тут я согласен с srg555: интересно будет посмотреть как вспорят всех тех, кто...админит такую сеть. Edited September 4, 2013 by eth1 Вставить ник Quote
NiTr0 Posted September 4, 2013 Posted September 4, 2013 это типа вместо зрелищ такое практикуют в Украине? Если сильно допекает хацкер - заявление (статья УК однако), далее - следственные действия и срок (может - условный, может - реальный). А анальные кары - сами собой, в местах не столь отдаленных, произойдут... Если не сильно допекает - какбы можно и просто прозвонить, пальцем пригрозить, или к конкуренту отправить. Хотя я не припоминаю, чтобы после прихода анлимов были случаи увода чужих учеток... Вставить ник Quote
srg555 Posted September 4, 2013 Posted September 4, 2013 Хотя я не припоминаю, чтобы после прихода анлимов были случаи увода чужих учеток... учётки на pppoe не особо интересно, а вот стырить куки или логины/паролей от соцсетей и прочего это очень даже актуально. даже есть чёрный рынок, где ими торгуют Вставить ник Quote
Ivan_83 Posted September 4, 2013 Posted September 4, 2013 Или просто пров не заморачивается. Ибо смысла нет. Т.к. если и найдется 1 хацкер на 10000 абонов - и то хорошо. У людей (нормальных, занятых) со знаниями мотивации нет на такие действия. Даже ощущения что "провадер грабит нас" нет. Максимум из любопытства можно посмотреть на соседей в инете. Получать чужие бродкасты это не нормально. Ну ладно, если сеть на мыльницах и нет тех.возможности это сделать, но когда нет L2-изоляции межабонентского трафика на управляемом оборудовании, то это уже наводит на мысли о квалификации админов. У ТТК был глюк, когда свич превращался в хаб и я видел пару десятков маков и все пакеты от них у себя на порту :) Но у них точно управляемые длинки, и не 2ххх серии. Поэтому если не гонять круглыми сутками такой сервер, как на скрине (слева лог сервера, справа свежие аккаунты ВК), мешая юзерам нон-стоп, то тут я согласен с srg555: интересно будет посмотреть как вспорят всех тех, кто...админит такую сеть. Их (провайдера) ну вообще никак. А вот у анонима который решит пакостить будут проблемы. Другое дело если после общения с ТП провайдера это не лечится, но документируется такое общение анонимом и потом аноним в местные СМИ сливает инфу что провайдер рас***яй, с доказательствами в виде сообщений в ТП о проблеме и разумно подчищенных пакетов соседей. учётки на pppoe не особо интересно, а вот стырить куки или логины/паролей от соцсетей и прочего это очень даже актуально. даже есть чёрный рынок, где ими торгуют И много ты их наберёшь? На мороженое поди не хватит. Зато если спалишься может дойти до переезда. Вставить ник Quote
eth1 Posted September 4, 2013 Author Posted September 4, 2013 (edited) это типа вместо зрелищ такое практикуют в Украине? Если сильно допекает хацкер - заявление (статья УК однако), далее - следственные действия и срок (может - условный, может - реальный). А анальные кары - сами собой, в местах не столь отдаленных, произойдут... Если не сильно допекает - какбы можно и просто прозвонить, пальцем пригрозить, или к конкуренту отправить. Хотя я не припоминаю, чтобы после прихода анлимов были случаи увода чужих учеток... Сильно допекать таким методом будет только долбаёб, а не хацкер. А вот у анонима который решит пакостить будут проблемы. Аноним не отвечает за косяки в сети.Алсо, вам известно много случаев анальных кар у абонентов, которые воткнули прова в LAN порт роутера? Мне известно из личного общения с техническим специалистом (а не ТП из ТП), что им срать, если "у вас же интернет работает". И много ты их наберёшь?От десятков до сотен, если L2 сегмент большой и есть лишнее железо под это дело.Это только акки одной соцсети, например ВК.А так то можно добавить и почту и аську и всё, что угодно ибо зависит от фантазии и технических возможностей.Поэтому ненадо таким образом оправдывать провов-рас***яев. Edited September 4, 2013 by eth1 Вставить ник Quote
srg555 Posted September 4, 2013 Posted September 4, 2013 eth1 Вы лучше зайдите в раздел беспроводных сетей, там такая пионерия... их потроллить можно куда прикольней Вставить ник Quote
NiTr0 Posted September 4, 2013 Posted September 4, 2013 учётки на pppoe не особо интересно, а вот стырить куки или логины/паролей от соцсетей и прочего это очень даже актуально. Ну и кому они особо надо? И чем это нажористее, чем, скажем, впаривание трояна под видом генератора кодов пополнений/парнухи/прочие типичные сценарии? Смысл срать у себя дома ради максимум сотни учеток, если можно с куда меньшим напрягом получить тысячи, если не десятки тысяч? Сильно допекать таким методом будет только долбаёб, а не хацкер. А это не синонимы? Алсо, вам известно много случаев анальных кар у абонентов, которые воткнули прова в LAN порт роутера? Обычная практика - рубится порт/вытягивается кабель в случае неуправляемого железа до выяснения. От десятков до сотен, если L2 сегмент большой и есть лишнее железо под это дело. Сотни? Да ну? Такая помойка долго не живет. И такой хацкер прекрасно отлавливается и сливается компетентным органам... Вставить ник Quote
eth1 Posted September 5, 2013 Author Posted September 5, 2013 (edited) А это не синонимы? Есть отличия.Долбаёб даёт работу органам.А хацкер даёт работу вам, админам.Ну а если вы допускаете на работе рас***яйство, то уже вас приравняют к долбаёбам. Обычная практика - рубится порт/вытягивается кабель в случае неуправляемого железа до выяснения. Вы свою теорию оставьте для форумов с хацкерами.Посадки по таким случаям были? Сотни? Да ну? Такая помойка долго не живет. И такой хацкер прекрасно отлавливается и сливается компетентным органам... У нас живёт.И если вы не знаете о хацкерах в своей сети, то это ещё не значит, что их нет.На их поиск в ненастроенной или неуправляемой сети (а речь в начале темы шла о таких) уйдёт от пары часов, до пары дней.В то время как сервера левые у хацкеров без остановки не висят и часу.А висят они как правило в ЧНН, когда монтажники как и тысячи хомяков сами лезут в инет, рассылая кучу PADI=) Но тут руководство компании можно понять: нафига вливать бабло в нормальное железо и админов, если можно в одном случае из тысячи отправить далеко и надолго монтажников с ноутбуком. Edited September 5, 2013 by eth1 Вставить ник Quote
NiTr0 Posted September 5, 2013 Posted September 5, 2013 Посадки по таким случаям были? Уголовные дела и не по таким случаям возбуждают и доводят до логического конца. http://crimea.comments.ua/news/2013/02/25/154454.html к примеру. У нас живёт. Сказки. На их поиск в ненастроенной или неуправляемой сети (а речь в начале темы шла о таких) уйдёт от пары часов, до пары дней. Коннект к серверу, заход с него на honeypot. В присутствии экспертов из "органов". Налицо вмешательство в работу сети передачи данных, и логин хацкера тут как тут светится. И садится горе-хацкер за решетку... К слову, что вы думаете по поводу спутниковой рыбалки? :) Или для хацкера это слишком сложно? :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.