The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Исследователи нашли фундаментальную уязвимость во всех TCP/IP стеках

02.10.2008 16:09

Шведские эксперты по компьютерной безопасности из компании Outpost24, Роберт Ли (Robert E. Lee) и Джек Льюис (Jack C. Louis), в процессе разработки утилиты unicornscan для распределенного сканирования портов заметили ряд аномалий, исследовав которые, обнаружили фундаментальную проблему безопасности, дающую возможность вызова отказа в обслуживании всех протестированных реализаций TCP/IP стека (Windows, BSD, Linux, различные TCP/IP стеки для встраиваемых систем), не требуя при этом отправки гигантских объемов пакетов. Детали связанные с техникой проведения атаки будут представлены на конференции T2, которая пройдет 17 октября в городе Хельсинки.

Для совершения атаки не обязательно прибегать к услугам многотысячных зомби сетей, метод Роберта Ли и Джека Льюиса позволяет нарушить работоспособность любой системы, используя один компьютер, подключенный к сети через типичный ADSL-линк. Представленная техника "reverse SYN cookies" атаки, позволяет вызвать переполнение таблиц, хранящих состояние TCP соединений, через определенные манипуляции c SYN cookie на этапе установки соединения, что приведет к блокировке приема новых коннектов.

Несмотря на то, что производители межсетевых экранов и операционных систем уже давно получили уведомление о данной уязвимости, придумать вариант исправления или обходной путь решения проблемы так и не удалось (судя по предварительному описанию, может помочь только отключение обработки SYN cookie, но тогда система будет уязвима перед SYN-флудом).

Интересно, что описание эффекта от данной атаки очень походит на два раза наблюдаемые в моей практике странные блокировки системы из-за исчерпания свободных сокетов, при абсолютно стандартной нагрузке - в один прекрасный момент все TCP соединения переставали нормально завершаться и оставались в состоянии TIME_WAIT, пока не достигался лимит на число сокетов, будто перестал работать какой-то чистильщик мусора в ядре.

  1. Главная ссылка к новости (http://www.darkreading.com/blo...)
  2. 5-минутное аудио-интревью с Робертом Ли, в котором подчеркнута суть проблемы
  3. Анонс на сайте компании Outpost24
  4. New DOS attack technique: sockstress
  5. searchsecurity.techtarget.com: New attacks reveal fundamental problems with TCP
  6. OpenNews: Размышления Брюса Шнайера о безопасности TCP/IP
Лицензия: CC-BY
Источник: slashdot.org
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/18228-security
Ключевые слова: security, tcp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (131) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 16:27, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Инету в его нынешнем виде, скорее всего - rip xD
     
     
  • 2.2, baloo (?), 16:52, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Инету в его нынешнем виде, скорее всего - rip xD

    ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным контролем спец-служб, с полным выходом на источник. Выход один - создание закрытых внутренних зашифрованных сетей типа VPN и кроме этого использовать асинхронное шифрование в почте, мессенджерах, и в VoIP. Но так чтобы не возможно было реалиловать MITM атаку.

     
     
  • 3.7, ilia kuliev (??), 17:23, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Инету в его нынешнем виде, скорее всего - rip xD
    >
    >ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным
    >контролем спец-служб, с полным выходом на источник. Выход один - создание
    >закрытых внутренних зашифрованных сетей типа VPN и кроме этого использовать асинхронное
    >шифрование в почте, мессенджерах, и в VoIP. Но так чтобы не
    >возможно было реалиловать MITM атаку.

    асинхронное? может, всё-таки, асимметричное? :)

     
     
  • 4.15, baloo (?), 18:14, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    мдя, ну конечно, оговорился, что называется )))
     
     
  • 5.87, Щекн Итрч (?), 23:16, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А я вот покамест читаю эту страницу.
    И сервера мои все доступны.
    Фундаментальная уязвимость - фундаментальное же и исправление.
    Попердим, когда хотя бы полсотни сервисов окажутся обваленными этой уязвимостью... Ага?
     
  • 3.8, Аноним (-), 17:24, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Выход один - создание закрытых внутренних

    Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по твоему мобильнику и даже через него могут на тебя ракету навести в форточку.

     
     
  • 4.10, Роман (??), 17:58, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Выход один - создание закрытых внутренних
    >
    >Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по
    >твоему мобильнику и даже через него могут на тебя ракету навести
    >в форточку.

    А зачем вообще нужен мобильный телефон?

     
     
  • 5.99, User294 (ok), 17:29, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А зачем вообще нужен мобильный телефон?

    Ну, мало ли, вот случится с вами какая-то дрянь за несколько км от проводного телефона - так и подохнете, потому что скорую вызвать или сообщить о проблемах - не сможете.

     
  • 4.13, User294 (??), 18:07, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют"

    Тотально не получится - ушей не хватит слушать. До некоторой степени могут. А вы если понимаете как это работает можете до некоторой степени усложнить задачу, подняв планку. Правда если вы Бин Ладен это может и не помочь, а в случае average joe...

    P.S. а наводить по мобильнику ракеты - это да... типа, палить ракетами в белый свет как в копеечку?Ну, если вы живете в тайге и там 1 домик на 5 кв. км - да, без проблем.А вот в городе при точности определения места мобилы 500 метров придется разбомбить нахрен целый район.А не много ли чести для одного дятла?

     
     
  • 5.19, Fantomas (??), 19:44, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    При такой большой рабочей частоте мобильника точность определения значительно меньше 500м и соответственно ракета попадет точно в цель, как и группа спецназа.
     
     
  • 6.27, User294 (??), 20:35, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Частота частотой а сама по себе частота никаких координат не передает И это вам ... большой текст свёрнут, показать
     
     
  • 7.36, rakshas (??), 21:53, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>При такой большой рабочей частоте...

    Расскажите эту лабуду жителям Цхинвала....
    А грызуны там как раз били по мобильникам в том числе....

     
     
  • 8.45, User (??), 22:32, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Они били по любому радиосигналу в очень широком диапазоне, который снимался спец... большой текст свёрнут, показать
     
     
  • 9.46, rakshas (??), 22:56, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вам любой связист скажет что для определения радиопередатчика с точностью до 1 м... текст свёрнут, показать
     
     
  • 10.49, User (??), 23:55, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Извините, но это будет очень херовый связист ... текст свёрнут, показать
     
     
  • 11.51, User294 (??), 00:29, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    И к тому же не понимающий что в GSM используется совместное использование частот... большой текст свёрнут, показать
     
     
  • 12.52, rakshas (??), 01:03, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Да согласен с илученем мобильника я загнул ... текст свёрнут, показать
     
  • 12.64, anesth (ok), 11:59, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Украина, 2008 год, СБУ не самого большого областного центра ищет кардера Вызыва... большой текст свёрнут, показать
     
     
  • 13.65, BoBa (??), 12:05, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    смею заметить, что человек и его абоненты ради которого собрались применять раке... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 15.113, chesnok (ok), 18:33, 05/10/2008 [ответить]  
  • +/
    похоже, что скоро нужно будет научиться добывать либо из другой трубы, либо из д... текст свёрнут, показать
     
  • 11.61, Rain (??), 09:35, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Извините, но работая в GSM, на практике могу утверждать, что местоположение движ... текст свёрнут, показать
     
     
  • 12.66, Осторожный (?), 12:14, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    С цифрами ничего не напутал Можно все-таки для неподвижного точность выше ... текст свёрнут, показать
     
     
  • 13.81, Chizh (??), 19:21, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Сотовая связь во многих случаях даёт пересечение из 3х точек, поэтому точносто д... текст свёрнут, показать
     
     
  • 14.105, BoBa (??), 17:15, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    некоторые операторы предоставляют данные по одной БС где зарегистрирован телефон... текст свёрнут, показать
     
  • 12.83, User294 (??), 22:31, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    500 - это IMHO наихучший случай 1 сота в зоне видимости При этом по Timing Adva... текст свёрнут, показать
     
     
  • 13.106, BoBa (??), 17:18, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    сектор не обязательно 120 градусов, они пересекаются для определения оператором ... текст свёрнут, показать
     
     
  • 14.120, User294 (ok), 03:44, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А как по вашему мнению тогда умно и как это технически реализовано При условии ч... текст свёрнут, показать
     
     
  • 15.122, BoBa (??), 09:00, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ТА дает точность 500м, TA доступно только во время разговора хотя есть большая... текст свёрнут, показать
     
     
  • 16.141, User294 (ok), 10:10, 07/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а по ID соты как бы еще и сектор известен То есть, известен довольно небольш... большой текст свёрнут, показать
     
     
  • 17.142, BoBa (??), 10:59, 07/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    CellID как показал опыт пустое телефон как правило видит несколько секторов ... большой текст свёрнут, показать
     
  • 8.47, iav (ok), 23:09, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    бугага Сказано чудесно Били по гвадратам и всему, что в них находилось - домам... текст свёрнут, показать
     
  • 8.108, Zulu (?), 17:22, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    атас, вот это мозги замылены... текст свёрнут, показать
     
  • 5.59, Аноним (1), 09:08, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А всех слушать и не надо, достаточно логировать на определденные слова, и в случаи надобности поднимать конкретные архивы конкретного человека. Такое ощущение что многие забыли про "Эшелон".
     
  • 4.31, Аноним (1), 21:03, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Выход один - создание закрытых внутренних
    >
    >Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по
    >твоему мобильнику и даже через него могут на тебя ракету навести
    >в форточку.

    Мобильный телефон легко выключить или же оставить дома, а самому уйти совершать терр.акт.

     
  • 3.14, User294 (??), 18:12, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Эээ а что, СОРМ разве уже отменили Да и межконтинентальных каналов не так много ... большой текст свёрнут, показать
     
  • 3.72, СОРМ (?), 13:36, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>с полным выходом на источник

    Фи, как старо... Даже банальный СОРМ раз-два-три(?) позволяет не только "подслушать" (не говоря, что хранить 10 лет опсосы должны минимум весь трафик по закону), но "на лету подменить" (или подавить - по поставленной адаче) исходящее (или входящее) сообщение. Так что, добро пожаловать  в реальность...

     
     
  • 4.77, Dyr (??), 14:00, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>>с полным выходом на источник
    >
    >Фи, как старо... Даже банальный СОРМ раз-два-три(?) позволяет не только "подслушать" (не
    >говоря, что хранить 10 лет опсосы должны минимум весь трафик по
    >закону), но "на лету подменить" (или подавить - по поставленной адаче)
    >исходящее (или входящее) сообщение. Так что, добро пожаловать  в реальность...
    >

    Поучи хотя бы общедоступную матчасть для начала, а?
    Срок хранения ИНФОРМАЦИИ по трафику (а не самого трафика) составляет три года.
    http://www.mfisoft.ru/operators/sorm/yanvar.html

    Подменять на лету - на 99% уверен, что нет, не может. По той простой причине, что трафик зеркалируется на СОРМовскую аппаратуру, а не гонится через неё.
    Так что давай, проходи со своим идиотизмом подальше.

     
     
  • 5.78, Dyr (??), 14:02, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Подменять на лету - на 99% уверен, что нет, не может. По
    >той простой причине, что трафик зеркалируется на СОРМовскую аппаратуру, а не
    >гонится через неё.

    А, вот и нашёл прямое указание на это: http://www.sormovich.ru/security
    [quote]
    Способ подключения системы к оборудованию сети передачи данных исключает передачу любой информации из системы. Система работает только на прием.
    [/quote]

    Сказочник, ау, ты где?

     
  • 4.84, User294 (??), 22:37, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >по закону

    По закону много кто и чего должен, а вот что там по факту имеется - тот еще вопрос... =)

     
     
  • 5.88, Dyr (??), 23:44, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>по закону
    >
    >По закону много кто и чего должен, а вот что там по
    >факту имеется - тот еще вопрос... =)

    Гы, ну уж явно не на 10 лет, закону меньше лет =)

     

  • 1.3, Аноним (3), 17:00, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А не, что Crypto SYN cookies уже работоспособны?
     
  • 1.4, Grigoriy (?), 17:04, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну его нафиг такие новости.
     
     
  • 2.5, Аноним (1), 17:07, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Это по страусиному принципу - от проблем голову в песок, глядишь пронесет? 8-)
     
     
  • 3.9, Grigoriy (?), 17:34, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Это по страусиному принципу - от проблем голову в песок, глядишь пронесет?
    >8-)

    Нет действия нужно предпринять, но таких новостей бы поменьше ;)

     
     
  • 4.60, DM (??), 09:35, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет действия нужно предпринять, но таких новостей бы поменьше ;)

    А какие действия-то? FIDO рулит? :D

     
     
  • 5.85, User294 (??), 22:38, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А какие действия-то? FIDO рулит? :D

    Back to the future. Floppynet :)

     

  • 1.6, Аноним (1), 17:14, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя никогда их не включал и включать желание не возникало... :)
     
     
  • 2.11, Аноним (1), 18:01, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
    >никогда их не включал и включать желание не возникало... :)

    Ну вот может уже пришла пора включать их? xD

     
     
  • 3.12, Andrew Kolchoogin (?), 18:06, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
    >> никогда их не включал и включать желание не возникало... :)
    > Ну вот может уже пришла пора включать их? xD

    Ну вот может уже пришла пора поставить на Border Router FreeBSD или OpenBSD? И ознакомиться с параметром "synproxy state" у PF? Вместо того, чтобы пользоваться SYN Cookies, устаревшими, как минимум, лет на пять?

     
     
  • 4.18, V (??), 19:14, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    /me returns True
     
  • 4.53, chesnok (ok), 02:57, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>> а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
    >>> никогда их не включал и включать желание не возникало... :)
    >> Ну вот может уже пришла пора включать их? xD
    >
    >Ну вот может уже пришла пора поставить на Border Router FreeBSD или
    >OpenBSD? И ознакомиться с параметром "synproxy state" у PF? Вместо того,
    >чтобы пользоваться SYN Cookies, устаревшими, как минимум, лет на пять?

    что то не понятно, когда данные ОС стали считать современными и приравнивать к маршрутизаторам, да и информация в новости говорит немного о другом...
    Было бы интересно, узнать, как можно пропустить поток 3,2Gps через ПК ? я не говорю о сервисах и всем остальном...

     
     
  • 5.67, Dyr (??), 12:55, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом, линуксой без проблем.
     
     
  • 6.90, chesnok (ok), 02:15, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом,
    >линуксой без проблем.

    как маршрутизатор ? 1Гб/сек ? какой pps ? каким образом пакеты коммутируются?
    если не секрет какая конфигурация у данного ПК

     
     
  • 7.91, Dyr (??), 11:53, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом,
    >>линуксой без проблем.
    >
    >как маршрутизатор ? 1Гб/сек ?

    Да, как маршрутизатор - шлюзуются порядка 20 тысяч клиентов, почти все из них NATятся.
    >какой pps ?

    Не помню, вечером посмотрю. =)
    conntrack показывает порядка 800 тысяч сессий.

    >каким образом пакеты коммутируются?

    Э-э-э...? В смысле?
    >
    >если не секрет какая конфигурация у данного ПК

    2 четырёхядерных ксеона, онбордная интеловская сетевушка. Если нужно подробнее, то тоже только вечером.
    Кстати, из 8 ядер свободными остаются 6 - два ядра "затыкаются" по прерываниям.

     
     
  • 8.92, chesnok (ok), 13:18, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    если я правильно Вас понял, у вас работает nat на основе iptables Linux прер... текст свёрнут, показать
     
     
  • 9.93, Dyr (??), 13:51, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Да ipset iptables Пробовали, но суть остаётся такой же Прерывания от одной с... текст свёрнут, показать
     
     
  • 10.94, chesnok (ok), 14:17, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    если не секрет расскажие, что за дисрибутив у Вас, версия ядра если ли какие-т... текст свёрнут, показать
     
  • 7.96, User294 (ok), 16:47, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >если не секрет какая конфигурация у данного ПК

    Мне почему-то кажется что если WL500GP с его 264MHz MIPS-процессором способен в принципе при роутинге выжать практически 100 мбитов (как минимум на больших пакетах) то гигабит (как минимум на больших пакетах) любой уважающий себя современный писюк у которого намного более мощный CPU вытянуть обязан.Иначе это просто кусок хлама какой-то.

     
     
  • 8.101, chesnok (ok), 17:57, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    не совем, PC не использует никаких методов коммутации, кроме как процессором - п... текст свёрнут, показать
     
     
  • 9.102, User294 (ok), 06:40, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    То что у х86 с прерываниями плохо конечно все знают, но обычно гигабитные сетеву... текст свёрнут, показать
     
     
  • 10.103, chesnok (ok), 12:44, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а когда же ... текст свёрнут, показать
     
  • 10.107, BoBa (??), 17:20, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    и все таки матрицы коммутации циски и общий буфер гораздо производительнее чем п... текст свёрнут, показать
     
     
  • 11.111, chesnok (ok), 17:30, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    это да, но я не совсем понимаю, каким образом тогда без прерываний ПК обеспечива... текст свёрнут, показать
     
     
  • 12.112, BoBa (??), 17:34, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    имхо сказки имхо люди из тех кто не боится выстрелить себе в ногу особенно если ... текст свёрнут, показать
     
     
  • 13.114, chesnok (ok), 19:49, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да дело сечас не в цене, и к тому же он стоит копейки, 4-5к это самый дешевый се... текст свёрнут, показать
     
     
  • 14.115, BoBa (??), 20:48, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    4-5k двухпроцессорная мать и 2 4х ядерных ксеона расскажите где такие цены не в... текст свёрнут, показать
     
     
  • 15.116, chesnok (ok), 20:59, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    я то же не очень верю, коммутации как таковой там вообще нет к примеру вот - htt... текст свёрнут, показать
     
     
  • 16.117, Dyr (??), 23:14, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Экие вы неверящие-то Попробуйте сами, в чём проблема Вот график загрузки за не... большой текст свёрнут, показать
     
     
  • 17.124, BoBa (??), 09:05, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо, ознакомился ... текст свёрнут, показать
     
  • 16.123, BoBa (??), 09:02, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ах речь о уе ... текст свёрнут, показать
     
  • 15.118, Dyr (??), 23:16, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы настолько бедны, что не можете себе этого позволить, но хотите поставить вмес... текст свёрнут, показать
     
     
  • 16.119, universite (ok), 03:02, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Зря вы так повелись на тролля ... текст свёрнут, показать
     
  • 16.126, BoBa (??), 09:32, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    в такую же цену не скажу, дороже - 5540, правда к шлюзу вы получете еще не понят... текст свёрнут, показать
     
  • 16.132, chesnok (ok), 11:46, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы тоже както злостно говорите, ведь 20, 000 пользователей легко окупают хорошый... текст свёрнут, показать
     
     
  • 17.134, Dyr (??), 11:55, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы конкретные модели железяк со стоимостью приведите - Напомню, что помимо обы... текст свёрнут, показать
     
  • 15.121, User294 (ok), 03:56, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    О господи Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых проц... большой текст свёрнут, показать
     
     
  • 16.125, BoBa (??), 09:23, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    в том то и дело что 8 ядер совершенно излишни, при методах коммутации отличных о... текст свёрнут, показать
     
     
  • 17.127, Dyr (??), 09:52, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А никто и не утверждал, что 8 ядер НЕОБХОДИМО Я лишь сказал, что сервер с 8 ядр... текст свёрнут, показать
     
     
  • 18.128, BoBa (??), 10:01, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    так и мне колво ядер до фени, сомнительность была именно в способе коммутации, а... текст свёрнут, показать
     
     
  • 19.129, Dyr (??), 10:11, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Сомнений, надо полагать, больше нет ... текст свёрнут, показать
     
     
  • 20.130, BoBa (??), 10:27, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    сомнения есть всегда но галочка о возможности такого решения проставлена ... текст свёрнут, показать
     
  • 21.131, Dyr (??), 10:44, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Просвещение - в массы - Забыл sysctl показать, кстати хотя он не до конца ... большой текст свёрнут, показать
     
  • 22.133, chesnok (ok), 11:53, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален любой программой, например iptraf я так понимаю это рабо... текст свёрнут, показать
     
  • 23.136, Dyr (??), 14:12, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    О как Я привык к FreeBSD шной стандартной netstat и иже с ней, которые накаплив... большой текст свёрнут, показать
     
  • 22.135, chesnok (ok), 12:06, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален За информацию спасибо, не нужно все вопрринимать агресив... большой текст свёрнут, показать
     
  • 23.137, Dyr (??), 14:25, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Где ж я агрессивно воспринял На пустое не верю я ответил вполне конкретными ц... большой текст свёрнут, показать
     
  • 24.138, Dyr (??), 14:33, 06/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, поставил irqbalance что-то мы про него забыли - при установке , карт... большой текст свёрнут, показать
     
  • 25.139, chesnok (ok), 01:29, 07/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален да действительно, производительность пересылки неплохая ... текст свёрнут, показать
     
  • 26.140, Dyr (??), 09:55, 07/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    оверквотинг удален Ну и что Лучше иметь переизбыток мощности, чем её недос... текст свёрнут, показать
     
  • 2.25, Анонима (?), 20:27, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
    >никогда их не включал и включать желание не возникало... :)

    я включал, наш сервер ддосили - помогало сильно.

     

  • 1.16, pavlinux (ok), 18:23, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А можно на уровне OS отрубить СИНкуки
    net.ipv4.tcp_syncookies=0

    А на уровне iptables/pf заниматься атифлудом

    И почему не сказали про Cisco? У них всё в порядке?

     
     
  • 2.17, Аноним (1), 18:37, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    С каких времён pf в вашем линуксе? Если не в нём, то с каких врёмен не в линуксе net.ipv4.tcp_syncookies ?
     
     
  • 3.33, Holy Cheater (?), 21:43, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >С каких времён pf в вашем линуксе? Если не в нём, то
    >с каких врёмен не в линуксе net.ipv4.tcp_syncookies ?

    А iptables - че, тоже не в линуксе чтоли?

     
     
  • 4.86, User294 (??), 22:42, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А iptables - че, тоже не в линуксе чтоли?

    Да просто у некоторых видимо очередные приступы неотпущенного ручника после распития тормозной жидкости.

     
  • 2.41, Аноним (1), 22:12, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > И почему не сказали про Cisco? У них всё в порядке?

    читаем новость внимательно: ВСЕХ ИЗВЕСТНЫХ РЕАЛИЗАЦИЙ.

     

  • 1.20, mitya (ok), 19:49, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, раз уж о pf речь зашла.
    Его вообще реально на линукс портировать (с технической точки зрения)?
    Может, кто уже ведет такую работу?
     
     
  • 2.21, yurkao (?), 20:18, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    нет, но его реально поставить на windows
     
     
  • 3.23, Аноним (-), 20:20, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > нет, но его реально поставить на windows

    типа пошутил?

     
     
  • 4.24, Аноним (1), 20:27, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> нет, но его реально поставить на windows
    >
    >типа пошутил?

    Никаких шуток. Выгугливается менее чем за минуту - http://force.coresecurity.com/index.php?module=base&page=about
    "...provides inbound and outbound stateful packet filtering for TCP/IP protocols using a Windows port of OpenBSD's PF firewall,..."

     
  • 4.30, Дмитрий Ю. Карпов (?), 20:50, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> нет, но его реально поставить на windows
    > типа пошутил?

    В Windows сетевой стек от FreeBSD.

     
     
  • 5.34, pavlinux (ok), 21:44, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А я то думаю, чего его глюкает всё время... Вот оно!!!

     
     
  • 6.57, rednikov (ok), 08:34, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ник твой грит сам за себя...
     
  • 6.63, Дмитрий Ю. Карпов (?), 11:31, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Если Windows и глюкает, то не из-за сетевого стека (по кр.мере, то й части, которая портирована из FreeBSD). Скорее глюки м.б. связаны с NetBIOS, который у Windows работает в режиме ядра.
     
     
  • 7.100, User294 (ok), 17:37, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >NetBIOS, который у Windows работает в режиме ядра.

    А стек TCP/IP по вашему где работает?!Виндовс в этом плане ничем не хуже других.Драйвер ядра tcpip.sys если что.

     
  • 5.68, Dyr (??), 12:56, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда дровишки?

    Брандмауэр делал один из разработчиков ipfw, это да, а вот про сетевой стек слышу впервые.

     
     
  • 6.82, pawnhearts (ok), 19:41, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    это старая городская легенда. в реальности сетевой стрек от bsd был в windows 3.51, потом написали свой
     
  • 2.28, User294 (??), 20:45, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Его вообще реально на линукс портировать (с технической точки зрения)?

    Думаю что сие достаточно трудно.А смысл при наличии айпитаблеса?

     
     
  • 3.48, yason (?), 23:27, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    народ пробовал портировать. ниасилили ядро пилить. так что пользуйте iptables ;)
     

  • 1.42, Аноним (1), 22:16, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В идеальном случае (пингование сразу несколькими БСками с разных точек) - >будет пересечение секторов 500-метрового кольца.Все-равно довольно большой >пятачок территории.Если это пространство застроено обычными городскими >многоэтажками - задолбаться можно там искать.Если это чисто поле - ну да, влип >клиент, можно и просто пробомбить нужную территорию :)

    Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте для операторов сотовой связи и с сотовыми сетями знаком не понаслышке, так вот он мне сказал, что в городе определить место нахождения абонента можно с точностью от 5 до 30м. Другое дело если вы находитесь загородом так там как раз те самые 500 метров.

     
     
  • 2.44, Pilat (ok), 22:27, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте
    >для операторов сотовой связи и с сотовыми сетями знаком не понаслышке,
    >так вот он мне сказал, что в городе определить место нахождения
    >абонента можно с точностью от 5 до 30м. Другое дело если
    >вы находитесь загородом так там как раз те самые 500 метров.

    Теоретически может и можно, а практически, например, у меня в районе - Москва, Вешняки - одна базовая станция, судя по всему, и то не всегда доступна из-за плотной застройки.
    Кроме того, лет пять назад у Мегафона была какая-то игра с определением позиции на сотовых - там как раз 500 метров на окраинах и получалось.


     
     
  • 3.55, NecAway (?), 07:31, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>так вот он мне сказал, что в городе определить место нахождения
    >>абонента можно с точностью от 5 до 30м. Другое дело если
    >>вы находитесь загородом так там как раз те самые 500 метров.
    >
    >Теоретически может и можно, а практически, например, у меня в районе -
    >Москва, Вешняки - одна базовая станция, судя по всему, и то
    >не всегда доступна из-за плотной застройки.
    >Кроме того, лет пять назад у Мегафона была какая-то игра с определением
    >позиции на сотовых - там как раз 500 метров на окраинах
    >и получалось.

    Господа, не нужно высказывать мнения от точности определения объекта по радиосигналу, если знакомы только со школьным курсом физики... это просто глупо... для определения места используется всего ОДНА антенна, 2-3 использовали разве что 40х. Если есть сигнал, его источник можно определить ОЧЕНЬ точно просто по самому сигналу, далее дело упирается в вычислительные мощности и алгоритмы. мало того, можно определять движиться-ли источник и в каком направлении и т.д. и т.п.
    Вот там он смешивается - размешивается, цифровой - аналоговый, отражения - искажения... всё это фигня... Чтоб поймать источник, время приёма измеряется мили или даже микро секундами, дальше дело техники...
    И кто вам сказал что, ББ для этого будет использовать сами вышки сотовой связи?.. глупость какая...

    P.S. Вот если изобретать велосипед, и использовать вышки сотовой, тогда да, я даже и не берусь предположить точность.

     
     
  • 4.58, nonsens (?), 08:39, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Короче  говоря, "у нас есть такииие приборы!!!, но мы вам о них не расскажем!"
     
     
  • 5.69, Dyr (??), 12:58, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Гггг, +100 =)
     
  • 4.62, domas (ok), 10:37, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    http://ru.wikipedia.org/wiki/Радиопеленгация
     
  • 4.71, Timka (??), 13:28, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Господа, не нужно высказывать мнения от точности определения объекта по радиосигналу,
    >если знакомы только со школьным курсом физики... это просто глупо... для
    >определения места используется всего ОДНА антенна, 2-3 использовали разве что 40х.
    >Если есть сигнал, его источник можно определить ОЧЕНЬ точно просто по
    >самому сигналу, далее дело упирается в вычислительные мощности и алгоритмы. мало
    >того, можно определять движиться-ли источник и в каком направлении и т.д.
    >и т.п.

    срочно патентуйте - озолотитесь :)
    при помощи одной антенны точно определить местоположение источника сигнала можно в двух случаях:
    1. пеленгатор находится в движении и постоянно определяет направление на источник сигнала. в этом случае засечь можно довольно быстро и довольно точно.
    2. при неподвижном пеленгаторе - если известна мощность передатчика, отсутствуют переотражения сигнала (хотя с этим можно бороться), точно известен коэффициент ослабления сигнала средой и источник сигнала достаточно коротковолновый
    никаких особых вычислительных можностей для этого не нужно, но, как было правильно земечено выше, вопрос осложняется тем, что GSM - это TDMA и одна и та же частота используется разными устройствами одновременно. т.е. пеленговать надо не столько саму частоту, сколько цифровой сигнал. а с этим уже свои сложности - нужно либо уметь все делать быстро с одной вращающейся антенной, как у радаров, либо иметь кучу разнонаправленных антенн... в общем, пеленгация GSM терминала та еще задачка. а ведь можно усложнить задачу, выходя на связь с левой симкой и разговаривая через SIP/Skype over GPRS/EDGE/UMTS/etc :)

     
     
  • 5.73, BoBa (??), 13:43, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    вы собрались пеленговать зашифрованный траффик? тогда вам не важно что в нем летит...

    определить местоположение может оператор, при соответсвующем оборудовании точность до десятков метров. метод не имеет ничего общего с пеленгацией. и оператору не имеет значения говорите вы по телефону или шлете данные...

    зы народ изучите гугл там есть подробное описание методов...

     
     
  • 6.79, Timka (??), 14:54, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    речь шла о операторонезависимой пеленгации. прежде чем советовать читать гугл, научитесь читать сами то, на что отвечаете.
     
     
  • 7.80, BoBa (??), 14:56, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >речь шла о операторонезависимой пеленгации

    1невозможно
    2где сказано?

     
  • 4.89, User294 (??), 00:39, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >или даже микро секундами, дальше дело техники...

    Угу, вот только стандартные БС этого не умеют.Даже в GPS специально заточенном на определение координат, время - это ОГРОМНАЯ проблема.

    Микросекунды, говорите?Скорость света вспомните, тогда микросекунды уже не покажутся ерундой.

     
     
  • 5.110, BoBa (??), 17:28, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Угу, вот только стандартные БС этого не умеют.Даже в GPS специально заточенном

    стандартные умеют но точность та самая ~500 метров

    >на определение координат, время - это ОГРОМНАЯ проблема.

    вот время проблема но доп оборудование на БС решают ее, и есть методы меньше зависящие от времени

     
  • 3.70, Хм... (?), 13:13, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Народ блин, тут все очень сильно зависит от эффективного диаметра соты чем он больше тем погрешность определения будет больше и наоборот
     
     
  • 4.74, BoBa (??), 13:44, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Народ блин, тут все очень сильно зависит от эффективного диаметра соты чем
    >он больше тем погрешность определения будет больше и наоборот

    не зависит от размера соты совершенно, зависит от колва БС в окрестности...

     
     
  • 5.75, Хм... (?), 13:54, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ты думаеш что оно никак не связано? :)
     
     
  • 6.76, BoBa (??), 13:57, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    я не думаю, я знаю...
    еще я знаю что размер от диапазона зависит...
     
     
  • 7.98, User294 (ok), 17:01, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >я не думаю, я знаю...
    >еще я знаю что размер от диапазона зависит...

    Как я понимаю система от BoBa работает на других принципах - там сам мобильник определяет свои координаты по тому какие БС вокруг.Для этого ему надо сделать ряд нестандарных действий а посему это могут делать только Siemens с ELF-патчем, для которых у BoBa и лежат ELF-ы.

    А тут разговор об удаленном определении координат мобилы по излучению.Малость другое.

     
     
  • 8.109, BoBa (??), 17:26, 05/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    совершенно верно не совсем так, работает например на СЕ MID2P , точность только... текст свёрнут, показать
     
  • 4.97, User294 (ok), 16:55, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Народ блин, тут все очень сильно зависит от эффективного диаметра соты

    Этот человек никогда не слышал про Timing Advance. RTFM доки с ETSI.ORG а потом будете рассказывать ваши сказки дальше...

     
  • 2.50, Arif (?), 00:01, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте
    >для операторов сотовой связи и с сотовыми сетями знаком не понаслышке,
    >так вот он мне сказал, что в городе определить место нахождения
    >абонента можно с точностью от 5 до 30м.

    Респект деду!
    Мужики, вы что инженерное меню на мобильнике не включали что ли?


     

  • 1.54, Аноним (1), 03:03, 03/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в один прекрасный момент все TCP соединения переставали нормально завершаться и оставались в состоянии TIME_WAIT, пока не достигался лимит на число сокетов

    Да, бывало такое...

     
     
  • 2.56, BoBa (??), 08:01, 03/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    iGPS+ система достигающая точности определения местоположения мобильника до здания: http://igps.boba.su
     

  • 1.143, Аноним (3), 10:59, 07/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бред в новости насчет SYN cookies.
    В оригинальном подкасте Роберт только аналогию приводил. Они тут вообще не причем. И их отключение никак не поможет защититься от атаки.
    Хоть бы разобрались в проблеме, прежде чем писать.
    На insecure.org отличная статья на эту тему. Opennet все больше превращается в желтую прессу.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру