The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Беспечность D-Link приводит к DDoS атаке

09.04.2006 13:46

На прошлой неделе, Poul-Henning Kamp, один из разработчиков FreeBSD, а также администратор NTP-сервера первого уровня, который расположен в датском центре обмена трафиком, в своем открытом письме обвинил компанию D-Link в вандализме.

Суть проблемы в том, что компания в прошивках к своим продуктам использует перечень из около 50 ntp-серверов, в числе которых есть серверы со stratum-I, без каких-либо разрешений от владельцев этих сервисов и в нарушение условий доступа к ним. В итоге, как выяснил г-н Кемп, от 75 до 90 процентов трафика (3.2 миллиона запросов в день или примерно 37 в секунду) к его time-серверу составляют пакеты от маршрутизаторов и прочих устройств D-Link.

Проблема была обнаружена еще в ноябре 2005 года, однако компания никак не отреагировала на обращение г-на Кемпа, что и вынудило его выступить с открытым письмом.

  1. Главная ссылка к новости (http://people.freebsd.org/~phk...)
  2. Man takes on D-Link publicly, with time not on his side
  3. D-Link accused of harvesting Stratum-1 server list
  4. When Firmware Attacks! (DDoS by D-Link)
Автор новости: Corvax
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/7304-dos
Ключевые слова: dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (83) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ilia Kuliev (?), 21:28, 09/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прочитал. Очень обидно. И ничего с ними не сделаешь.
     
  • 1.2, guest (??), 21:48, 09/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мм, внимание вопрос, а зачем оно надо если я свой раутер немогу синкать с этим нтп сервером ? нехотят в паблик ну пускай фаирволом закрывают.... бред.
     
     
  • 2.3, Ilia Kuliev (?), 22:00, 09/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Внимание ответ: с серверами Stratum-1 синхронизироваться простым смертным категорически не рекомендуется, для этого существует множество серверов Stratum-2 и -3.
    http://www.ntp.org/
     
     
  • 3.20, bmc (??), 08:36, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Это организационные проблемы, а не проблемы производителя. Контрпример: у меня заДДоСили сервак чумные клиентские машины. Нормальное решение - пытаться слезть с доса техническими приёмами. Ненормальное решение - просить пользователей лечить компы и призывать к порядочности.
     
     
  • 4.48, Квагга (?), 14:03, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальное решение упорно требовать, чтобы тебя подвезли до пивной на реанимобиле, а не в такси???
     
     
  • 5.71, bmc (??), 08:49, 11/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Дружок, ты о чём? Какие реанимобили? Я тебе говорю - это технические/административные проблемы сервера. Если реанимобиль устроен так, что в него может залезть любой желающий ПТУ-шник - будь уверен, только ПТУшников этот автомобиль возить и будет.

    ЗЫ: читай что пишут построчно, а не по диагонали.

     
  • 2.5, Akademic (??), 22:09, 09/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А вы бы хотели килобаксы за чужой трафик платить?
    Особенно, учитывая, что этот левый трафик составляет 75-90% от всего трафика сервера!
    Человек сделал для Дании сервак для синхорнизации.
    И в правилах чётко написал, что это только для Дании и больше не для кого.

    Да синкайте свой рутер сколько угодно.
    Это в настройках должно указываться, с какого сервера время брать.
    А здесь это в прошивке, да ещё и без согласия с владельцем сервера.
    Вот уж что точно бред.

    Жалко человека.
    Имхо, единственный нормальное решение, кот. можно получить -  чтобы DLink оплачивал трафик от своих маршрутеров.
    Только вот как определить, что от маршрутера, а что от норм юзера...

    Ну ещё, может быть, можно разрешить доступ только с IP, принадлежащих Дании.
    Правда не знаю насколько это решит проблему...

     
  • 2.9, nimda (?), 00:30, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Дело в том, что в использовании NTP серверов существует своя этика. Про это упоминается почти во всех манах по NTP. Даже в статьях на этом сайте есть. Если ты хочешь использовать сервак для массированного получения времени то должен запросить разрешения у хозяина.
     

  • 1.4, Lenin (??), 22:05, 09/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Честно говоря не читал условия использования именно этих серверов, но сдается что человек денег хочет.
     
     
  • 2.6, bashprompt (?), 22:18, 09/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Честно говоря не читал условия использования именно этих серверов, но сдается что
    >человек денег хочет.

    Отвечали же уже в топике, Stratum-1 сервер требует очень дорогого оборудования, потому их так мало в сети, и как правило предназначен исключительно для синхронизации NTP серверов втрого и третьего уровней иерархии, к которм в должны коннектится клиенты. Синхронизировать время железяк на которых никому это время не нужно - бред.

     

  • 1.7, Michael Shigorin (?), 23:46, 09/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Свинство :-(
     
  • 1.8, alex (??), 23:55, 09/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну и вчем проблема, сметить IP и доменное имя очень просто, кому нужно тот найдет
     
  • 1.10, аноним (?), 01:26, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что, эти балваны из D-Link даже не удосужились что-то ответить?
     
  • 1.12, stassats (??), 02:34, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да уж, не хорошо поступают, очень нехоршо.
     
  • 1.13, прохожий (?), 03:06, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да чего нехорошо, это называется подлянке, во всех "хацкер" софтах, по умолчанию таргет микрософт.ком, я думаю, тама 80% ихнего железа это кластеры для поддержки сайта...
    а что здаелаешь, управы нет, тут надо чисто по-русски, кулоком по лицу.
    у нас в сети, стоял игровой сервер, играло куча народу, кто-то там что-то не поделил права или еще чего, обиделись дети и стали досить...да так что провайдерская кошка на 15 минут ушла в даун...сервер тот тоже.
    детей поймали дали по жопе, сказли больше не будут
    а как еще, жаловаться а кому ???
    провайдеру, да сколько по вашим жалобам забанили спмеров да 0, скажут забаним через 5 минут разбаним.
    ну мужику не повезло, пусть пишет жалобу, попутно еще какие-то ачкарики присоединяца глядишь подымут бучу, а так кто он червяк из какой-то даниии, в длинке незнаю где дания)
     
  • 1.16, GByte (??), 06:01, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надо байкот Д-Линку объявить - предлагаю все перестать приобретать оборудование Д-Линк до урегулирования вопроса!
     
     
  • 2.17, Ze0 (??), 07:59, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    у них там такое оборудование что его и без таких вот случаем приобретать не шибко хочется+)))
     
  • 2.18, GateKeeper (??), 08:30, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Я и без этой статьи знал, что ДЛинк творят криворукие бомжеватые китайцы за тарелку рисовой похлебки. Ну, разве кто их еще покупает... Тогда да, может, тогда на них это подействует, раз на "качество" наплевать и дороже громкое слово.
     
     
  • 3.21, alan (??), 08:41, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    мда... они хоть что делают...
    покажите мне хотябы одного пряморукого интелигентного русского который что то подобное хотябы пытается делать... живём все на китайском железе, вот когда сами сделаем чтото лучше тогда и можно поливать...
     
     
  • 4.23, GateKeeper (??), 09:01, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если только так... А они что, уже обзавелись эксклюзивностью производства сетевого оборудования? И 3Com, Intel Network, Cisco, Nortell, Allied Telesyn (и т.д.)... всех скупили!? УЖАС! Завтра будет конец света.
     
     
  • 5.27, Dyr (?), 10:47, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Цены сравни, умник.
     
     
  • 6.28, GateKeeper (??), 10:59, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так о том и речь, что при таких ценах сразу понятно, кто и за какую зряплату эти девайсы клепает (см. пост выше)
     
  • 6.51, sash (??), 14:13, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Неуважительно батенька.

    В ценовом сегменте тех же dlink роутеров более чем предостаточно альтернатив от других производителей ведущих себя более чем адекватно.

    На просторах СНГ dlink упорно преобретает имидж "москвича" - "дешево и сердито - авось доедем."

     
  • 4.89, varLog (?), 14:09, 03/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >мда... они хоть что делают...
    >покажите мне хотябы одного пряморукого интелигентного русского который что то подобное хотябы
    >пытается делать... живём все на китайском железе, вот когда сами сделаем
    >чтото лучше тогда и можно поливать...


    www.zelax.ru

     

  • 1.19, mike (??), 08:33, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а ведь подобное уже случалось...
    http://www.cs.wisc.edu/~plonka/netgear-sntp/
     
  • 1.22, Аноним (-), 08:42, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статистику по трафику, счета на бабло - и судиться! Мало того, что жлобы из Д-Линка на 80 процентов выпускают разнообразное барахло - еще и в чужой карман лезут! Таких открытыми письмами не проймешь... А если на их бабло обоснованно покуситься - зачешутся, небось не круче Билли - тот мегабаксы платит по штрафам,и не чирикает... А открытые письма таким носорогам - камариный звон...
     
  • 1.24, Аноним (-), 10:03, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    знатоки, просветите плиз, СКОЛЬКО ТРИЛЛИАРДОВ раз нада спросить у нтп сервера скока время чтобы наматать ХОТЯБЫ 100 метров трафика а ?, извените пи*деш и провакация, трафика там ему наматали, ага.
     
     
  • 2.38, nuclight (?), 12:31, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А посмотреть и посчитать никак? Одна клиентская синхронизация по ntpdate требует 4 пакетов в одну сторону и 4 в другю, каждый размером 76 байт (считая заголовки IP и UDP), итого 304 байта в одну сторону и столько же в другую. 100 мегабайт поделить на 304 байта будет примерно 345 тысяч раз (допустим, он платит за трафик только в одном направлении). Цифра вполне может быть сопоставима с реальным количеством устройств по всему миру, долбящихся на его сервер. Если они пытаются синхронизироваться с ним, скажем, каждые 4 часа, то трафик за месяц получится 18 Гб, причем только входящий.
     
     
  • 3.67, universite (ok), 22:46, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно настроенный firewall не даст возможность недатчанам сверять часики.
    В крайнем случае можно для недатчан можно сделать расхождение от -20 минут до +20 минут.
     
  • 3.72, Alexey Vorobyev (?), 10:13, 11/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    ...on a typical day he’d receive 3.2 million bad packets (that’s 37 a second!)...

    http://www.lightbluetouchpaper.org/2006/04/07/when-firmware-attacks-ddos-by-d

     

  • 1.26, ram_scan (?), 10:16, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати netgear в отличие от длинка вопрос достаточно быстро решил и голову пеплом себе посыпал. А этим хоть бы хрен по деревне...
     
  • 1.29, Онанимус (?), 11:19, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интресно, можно ли техническими методами
    отличить запросы железок D-Link ?

    если да - то вполне реально выдать им
    в качестве ответа "00:00:00 01.01.1970" :-)
    и пусть подают в суд ... в конце концов
    за сервис никто не платил и никто никому
    не обязан.

     
     
  • 2.30, Michael Shigorin (?), 11:22, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >интресно, можно ли техническими методами
    Насколько понимаю, проблема не с полосой, а с техсредствами.  Ещё таким их догрузить, и как раз stratum 3 выйдет, мабуть.
     
  • 2.32, petr999 (ok), 11:29, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > интресно, можно ли техническими методами отличить запросы железок D-Link ?

    ну если выяснили статистику 80% или сколько там то наверно можно раз сделали.
    а завтра хуавей тем же займётся и опять то же самое?
    проще один раз устроить показательную порку путём отнятия лицензии так может и решится оно?

     

  • 1.31, Аноним (-), 11:26, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если 37 запрсов в секунду, то около 100 метров/сутки а то и больше. А вообще проблема не в трафике а в заДосивании сервака (см топик).
     
  • 1.33, КОТ (?), 11:41, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну а че на ихнем аиксе захачить нельзы было,
    а вообще правильно все...
    пусть знают!
    а чо длинк, нормальное желеозо, впринципе, гибики котрые циск аделает за 800$ я куплю лучше длинк одно и тоже, но цена 130$ у длинка есть железо, нормальное, покране мере техподедржка и маны как вы говорите есть, да и куча всего тот же форум, ц циски все надо искать как червякв навозе, у длинка все навиду это +
    им нечего скрывать они не рвуца в лидеры, просто делают среденее говно...
    а реально как этот дибил опр. что именно длинк его хачит ?
    может вовсе не длинк, а вы тут повелись на херню?
    пусть пришлет все "логи" (man syslog) нам сюда !!!
     
     
  • 2.82, Kelt (?), 15:44, 12/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    вот он щас и подорвётся, чтоб тебе показать, и логи лично в мыло вышлет, и пива ... большой текст свёрнут, показать
     

  • 1.34, Macil (?), 11:45, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Траффик тут не при чем, равно как и заддосивание. Почитайте внимательно письмо. Парню сделали исключение - поместили его сервак _бесплатно_ в траффикообменную зону. С определенными условиями ессно - NTP бесплатно и только для Дании. Получается что он из-за Dlink'а нарушает условия и либо должен платить деньги, либо закрыть сервак нафиг, либо искать новое место. А поскольку NTP чувствителен к "географическому" расположению в сети, то найти новое место не так просто.

     
     
  • 2.68, universite (ok), 22:52, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/

    >С определенными условиями ессно - NTP бесплатно и только для Дании.

    Листы доступа никто не отменял. В данном случае молодой челевок недостаточно закрылся от некоторых идиотов.

    >А поскольку
    >NTP чувствителен к "географическому" расположению в сети, то найти новое место
    >не так просто.

    Это некорректное утверждение. Иногда легче синхронизироваться с часиками из США чем с Франкфуртом или другой точкой обмена европейским траффиком.

    Д-Линк, конечно, тоже виноват, что внаглую вшил ntp-server датчанина.

     
     
  • 3.69, gad (??), 04:19, 11/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Листы доступа никто не отменял. В данном случае молодой челевок недостаточно закрылся от некоторых идиотов.
    Гы.... посмотри-ка сначала кто-такой phk.  если он молодой человек, то тебе года 3 по всем параметрам.

    А вообще, вместо ненужной болтовни, прочитайте-ка письмо.
    А то уши вянут.
    Ага, и в дании дураки, И без великого universite не обойдется.

     
  • 3.75, Macil (?), 16:57, 11/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Иногда легче синхронизироваться с часиками из США чем с Франкфуртом или другой точкой обмена европейским траффиком.

    Так я так и сказал что от "географического" положения качество очень сильно зависит...

    >>В данном случае молодой челевок недостаточно закрылся от некоторых идиотов.

    Молодой человек потратил туеву хучу времени на блокировку пакетов и разборки с длинком. А поскольку у него оплата по часовая (для тех кто в танке - муйней на работе за счет работодателя он заниматья не может как некоторые), то это его прямые убытки из-за некорректных действий длинка.

     
     
  • 4.78, universite (ok), 13:12, 12/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Не умеешь настраивать firewall - не берись Железка для NTP сервера стоит прили... большой текст свёрнут, показать
     

  • 1.35, RedAss (?), 11:56, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эви немент в "unix: руководство сисадмина " в главе "микрософт-плохо,unix-хорошо" описывает до смешного похожий прикол: только что выпущеный маздай-2000 пытался прописать себя в корневых DNS-серверах интернета без всякого разрешения и нестандарным (сделано в M$) способом. сразу миллионы только что проинсталированных копий.
    всё это непрофессионально, а не реагирование на претензии хозяина - ещё и хамство.
      ПРЕДЛОЖЕНИЕ! не покупаем D-Link, пока официально не извинятся и не откупят обратно (или не перепрошьют бесплатно) своё насранное.
     
  • 1.39, nbv (?), 12:32, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо парню посоветовать грамотнее поступить ;)
    пока у него NTP крутится - доказать злонамеренность DDoS сложно, а вот если
    он от DNS имени и IP-шника отказывается - и они перепадают кому-нить другому, вот тут и начинается судебный процес...
    особенно если у нового владельца по договору с провайдером оплата пакетов поштучно :)
    все расходы за счет БЛинка :)

    PS. а железо у них иногда получается неплохое.

     
     
  • 2.41, Macil (?), 12:40, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, почитай письмо-то хоть. У парня есть нормальные клиенты ок. 2000 штук. Смена IP-шника не поможет, а смена имени подложит свинью нормальным пользователям.
     

  • 1.40, nuclight (?), 12:32, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Советчики зафаерволить, вы само-то письмо читали? Там такой абзац есть:
    Filtering the D-Link packets requires inspection of fields which are not simple to implement in Cisco routers, and in particular such filtering seems to send all packets on the interface through the CPU instead of fast switching, so ingress filtering the packets at the ingress of AS1835 is totally out of the question.
     
     
  • 2.44, aaa111 (?), 13:17, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    "are not simple to implement in Cisco routers" - к сожалению, просто отмазка.
    Ввиду наличия Flexible Packet Matching. Пусть и в последних IOS, но оно есть.
     
     
  • 3.58, Аноним (-), 18:18, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>"are not simple to implement in Cisco routers" - к сожалению, просто отмазка.
    >Ввиду наличия Flexible Packet Matching. Пусть и в последних IOS, но оно есть.

    Нет - это просто ты в Cisco'х нифига не волочешь! :)

    "Flexible Packet Matching" делается на CPU, а что он писал про фильтрацию на CPU? То-то.

     
     
  • 4.74, Dmitry (??), 16:14, 11/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А что если он циской прикроется то входящий трафик со стороны провайдера ему считаться не будет?
     
  • 2.80, aaa111 (?), 14:48, 12/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А кто говорит про "ingress filtering the packets at the ingress of AS1835" ?
    Он и так стоит в DC.

     

  • 1.43, КОТ (?), 13:05, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну там он пишет про сохо длинки, чето я не помню, что в 604 длнике есть нтп-клиенто чето станно....
     
     
  • 2.45, Kim (?), 13:25, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    да есть он там, есть...
    буквально в пятницу с таким возился
     

  • 1.46, SlOPS (??), 13:27, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в чем проблема-то? Если он паблик для всех, пусть не матерится, если только для Дании, пусть зафайерволлит остальных, да и вообще пусть откроет только для разрешенных Stratum-2, -3, остальных в баню и не парится.
    Что же до D-Link, молодцы ребята!!! Нашли паблик-сервер и использовали по назначению. И неча на зеркало пенять, коли рожа крива...
     
     
  • 2.55, Jet (??), 16:27, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    На мой взгляд D-link поступает по хамски. Им же высказали претензию. Надо извинится и либо прекратить либо оплатить. Если они этого не делают - значит пи%4*@сы.
     
  • 2.59, Аноним (-), 18:26, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    STRATUM-1 по природе своей не для синка энд юзеров Я думаю что ему _придется_ з... большой текст свёрнут, показать
     

  • 1.47, КОТ (?), 13:59, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SlOPS ты верно сказал.
    жму руку.
    я думаю, что длинку полно других дел, помимо досса какого-то NTP.
    а что правда мешает за хачить все ???
    ну сидит он на IX'е пусть трафик до его НТП не из "своих" АС не приходит
    да или просто разрешит тем кому нужно.
    Я не понимаю, это же интернет, тут кто угодно и что угодно может вытварять...
     
     
  • 2.64, Квагга (?), 20:54, 10/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, ты без охраны по улицам ходишь?

    Значит ли это, что кто угодно и что угодно может с тобой вытварять?

     

  • 1.52, zuborg (?), 14:16, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а почему на циске сложно зафильтровать не датские сетки ?
     
  • 1.53, Аноним (-), 14:50, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зарезал бы всех кроме, заранее наперед известных stratum 2 серверов, и делов-то.
    А вообще, было бы неплохо, если бы этим ублюдским dlink'ам отдали timestamp 2^32-100. Чтобы мало того что время левое, так оно бы еще и переполнилось.
    А кто от этого пострадает - никого не волнует, нечего это недожелезо покупать.
     
  • 1.54, XDA (?), 15:13, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо чтоб длинк поставил свои собственные NTP сервера и пусть пользуется ими сколько угодно.

    ну и в качестве компенсации не обижается за пользование этими серверами других юзверей

     
  • 1.57, Slayer605 (?), 18:01, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    D-link не виноват, что использует сервак по назначению. Пусть этот админ Poul-Henning Kamp лучше настраивает свой NTP-сервер. Буду и даьлше покупать dlink-и :)
     
  • 1.65, Дмитрий Ю. Карпов (?), 21:43, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1) Никто не запрещал DLink'у посылать NTP-запросы на Stratum-I, равно как и любому юзеру посылать любые запросы на любой сервер.

    2) Никто не обязывал владельцев/админов Stratum-I корректно отвечать (и вообще отвечать) на NTP-запросы.

    Конечно, Stratum-I может зарезать NTP-запросы от незнакомых клиентов на уровне пакетной фильтрайии или на уровне сервиса. Проблема в том, что его провайдер уже выполнил работу по передаче IP-пакетов. Кроме того, и фильтрация на любом уровне, и ответ на запрос загружают процессор Stratum-I, замедляя реакцию NTP-серверов второго уровня.

    Мне кажется разумным педъявление претензий к DLink'у с требованием оплаты трафика и угрозой выдавать им некорректное время - некорректна%F

     
  • 1.66, Дмитрий Ю. Карпов (?), 21:44, 10/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется разумным педъявление претензий к DLink'у с требованием оплаты трафика и угрозой выдавать им некорректное время - некорректная работа DLink'овских железок приведёт к такому снижению спроса, что дешевле будет заплатить (это касается тех, кто заявляет "покупал DLink и буду покупать - железки хорошие").

    Есть и технические средства разрулить проблему.
    Если в DLink'овских железках забито DNS-имя Stratum-I, то можно научить DNS-сервер давать разняе ответы в зависимости от того, кто спрашивает; правда, ситуация осдложняется тем, что запрос приходит не от NTP-клиента, а от его DNS-сервера.
    Если в DLink'овских железках забит IP-номер Stratum-I, то можно за довольно короткий срок перевести Stratum-I на

     
     
  • 2.73, Hawk (??), 11:09, 11/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    самым разумным было бы d-link-у поднять свой ntp
     

  • 1.76, SlOPS (??), 09:58, 12/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как вы не поймете, МУЖИК ХОЧЕТ ЗАРАБОТАТЬ НА СОБСТВЕННОЙ ДУРОСТИ! D-Link тут не причем, да и вообще только этика и недостаток наглости не позволил остальным сделать то же самое. Как говорите его имя? Ща на линухе на него NTP-клиент натаскаю, и пусть только попробует вякнуть...
    PS В интеренте не принято базар поднимать, если используют твой Open Relay. Направленная атака, - тогда извольте. "Админ" просто воспользовался лишней возможностью заявить о себе, что он якобы "разработчик Фри".
    D-Link: Не говорите мне что делать, и я не скажу, куда вам нужно идти.
     
     
  • 2.79, alb (??), 14:14, 12/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Если вы так хорошо все понимаете, может объясните похожий инцидент с NetGear?
    Там как-то все полюбовно решилось. А тут прошло уже пол года...
     
  • 2.85, Дмитрий Ю. Карпов (?), 11:50, 14/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > PS В интеренте не принято базар поднимать, если используют твой Open Relay.

    Верно, базар поднимать не принято. Принято либо запрещать релеинг, либо направлять письма в /dev/null - и пусть отправитель имеет проблемы из-за собственной дурости.

    PS: Кстати, я давно призываю людей с бесплатным трафиком открывать "чёрные дыры", которые снаружи выглядят как открытые релеи (принимают почту от кого угодно и кому у годно), но в реальности сбрасывают её в /dev/null . Спамер обнаруживает открытый релей, радуется - а спам до получателей не доходит.

     

  • 1.77, Аноним (-), 10:31, 12/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что-то напоминает.... к примеру - спам! если уж залез - потрудись заранее обговорить условия!
     
  • 1.81, анонимоус (?), 15:38, 12/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надо было time.windows.com использовать - на фоне виндов никто бы и не заметил :)
     
  • 1.83, анонимоус (?), 15:58, 12/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А так - чувак держал свой сервер.Сервер стараниями длинк стал популярен, при том это не DDoS а штатное использование сервера по его прямым обязанностям.Нафиг держать сервер если при малейшей нагрузке начинаются вопли?
     
     
  • 2.84, Dimez (??), 18:46, 12/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Это совсем НЕ ШТАТНОЕ использование.
     
  • 2.86, Дмитрий Ю. Карпов (?), 12:08, 14/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > это не DDoS а штатное использование сервера по его прямым обязанностям.

    Конечно, это не DDoS, хотя результат аналогичный - сервер не справляется с задачами, для решения которых поставлен. Но это и не использование сервера по его прямым обязанностями, ибо сервер поставлен для обслуживания конкретных клиентов.

    > Нафиг держать сервер если при малейшей нагрузке начинаются вопли?

    Ну, допустим, я ставлю сервер для обслуживания собственной локальной сетки или группы моих личных друзей. Это значит, что у меня есть намерение обслуживать запросы определённого круга машин/юзеров в предположении о количестве/интенсивности запросов. (Кстати, "намерение" - чёткий юридический термин, активно используемый в УК.) Но у меня нет намерения обслуживать запросы посторонних, так что я расчитываю на одну интенсивность запросов, а посторонние способны обеспечить намного бОльшую интенсивность.
    С др.стороны, DLink не имеет намерения помешать работе сервера, а только хочет халявно использовать сервис, который владелец сервиса не хочет отдавать во всеобщее использование, особенно таким образом (владелец сервиса хочет, чтобы end-юзеры обращались ко вторичным серверам, а не к первичному).

    Приведу один пример. Допустим, некий владелец фирмы решил открыть столовую для своих работников, причём цель работы столовой - не столько получение денег за обеды, сколько улучшение работы сотрудников за счёт комфорта (меньше потери времени и сил на обед). И вдруг, прослышав о дешёвой качественной еде, в эту столовую начинают ломиться рабочие с соседних строек, дворники из соседних дворов, бомжи из ближайшик коллекторов и прочие граждане (и неграждане), не имеющие отношения к кругу лиц, ради которых создана/открыта столовая. И хуже того - теперь работники, ради которых владелец фирмы открыл столовую, не могут быстро пообедать в тишине и спокойствии!
    А теперь представьте себе, что столовая вообще бесплатна - это ближе к ситуации со Stratum-1.

     
     
  • 3.88, Анонимоус (?), 07:30, 24/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну, допустим, я ставлю сервер для обслуживания собственной локальной сетки или группы
    >моих личных друзей. Это значит, что у меня есть намерение обслуживать
    >запросы определённого круга машин/юзеров в предположении о количестве/интенсивности запросов.
    Вот и потрудитесь реализовать это не только декларациями здесь но и файрволом, авторизацией и т.п..Если вы этого не сделаете - извините, в случае чрезмерной популярности вашего сервера напишите тогда на вашем лбу у себя "сам дурак" и почаще пользуйтесь зеркалом(потому что наврядли вы сможете засудить пользователей сервера как злонамеренных ддосеров).Потому что если вы подняли общедоступный сервис, у остальных участников сети нет никаких методов чтобы узнать о том что "хотя наш сервер и доступен всему миру но на самом деле мы, оказывается, его поставили вовсе не для всех".В общем как с открытым релеем - если последствия вам не нравятся то только из-за вашей же безмозглости и криворукости.Чувак играл с граблями и огреб ими по лбу.Ему больно и хочется кому-то пи... дать.Но никто в общем то кроме него и не виноват в создавшейся ситуации.Обвинить производителей граблей в этом факте?:))Если бы он задекларировал изначально что сервер не для всех и реализовал на уровне файрвола что "вон тот вон наш сервер сервер - он только для ...", у него и проблем бы не было.А так соответственно неустойка выглядит вполне честно(а зачем было е%%ть другим мозги заводя сервер если оказывается что вполне адекватную для современного мира нагрузку сервак бац и не тянет?Если вы думаете что число девайсов использующих NTP сократится - вы что-то перепутали в этой жизни).Поговорку "назвался груздем - полезай в кузов" кстати еще не отменяли...
     
     
  • 4.98, Dmitry Karpov (?), 23:06, 24/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > если вы подняли общедоступный сервис, у остальных участников сети нет никаких методов
    > чтобы узнать о том что "хотя наш сервер и доступен всему миру
    > но на самом деле мы, оказывается, его поставили вовсе не для всех".

    Пару минут пытался понять, что эта фраза мне напоминает. Понял: слово-в-слово аргументы спамеров.
    Спамеры тоже заявляют, что раз машина принимает письма, они имеют право слать в почтовые ящики свою белибердень; и тоже предлагают фильтровать почту, если мне что-то не нравится.

    > Чувак играл с граблями и огреб ими по лбу.Ему больно и хочется кому-то пи... дать.

    Давно пора - выше уже предлагали выдавать время "за пару минут до конца эпохи". :)


    > Если вы думаете что число девайсов использующих NTP сократится - вы что-то перепутали в этой жизни).

    Никто не предлагает сокращать число девайсов, использующих NTP. Но надо пользоваться адекватно (или, как говорят военные, "согласно устава").


     

  • 1.87, Geronimo (?), 10:14, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да,жаль человека.Как я понял из письма (английский у меня плоховат),если человек закроет сейчас свой сервер,он должен платить неустойку за отключение своего сервиса времени-8,500 баксов.Если у него продолжат сыпаться запросы-то будет платить 8500 за траффик (какая-то странная сеть для серверов времени) каждый год.Он уже неслабо потратился на адвокатов-2500 долларов.А оплата у него почасовая,и на работе он работает,не может заниматься всеми этими делами (ничего себе хобби нашел!).
     
  • 1.90, Асташкина Ирина (?), 09:53, 18/05/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Имхо, админ тайм-сервера поступает правильно.
    А D-Link могли бы хотя бы в мануалах к своему оборудованию заявлять о том, что их железки автоматически синхронизируются время с такими-то серверами. Админы, та часть что при установки оборудования все-таке читает мануалы, были бы предупреждены.
    У меня вот схожая ситуация: Интернет-Камера DCS-3220G в майские праздники не с того ни с сего начала отправлять на тайм-сервер 192.6.38.127 пакеты по 3Мб в среднем. Каждые 20 сек. Итого 6 гиг в убытке. Провайдеру все-равно от чего такой трафик. Кому мне теперь счет переслать? У меня зарплата в 2 раза меньше, я убытки не покрою!
    Короче в первый день утром после праздников отрубила я эту камеру нах - никакого доступа за пределы роутера (слава 3com!!!). Пусть ищут другую возможность организации видеонаблюдения. Мне оплачивать трафик из своего кармана удовольствия не доставляет.
    И все это при том, что в настройках камеры есть пункт о синхронизации времени на камеры с тайм сервером, и дажа указать нада, с каким сервером синхронизировать. Ну я и настроила на свой локальных, как и всех клиентов сети по-умолчанию положено. А камера вместо него лезет в инет синхронизироваться... ну нафига???
    Я неделю пыталась понять что за дела. Ну теперь когда я с помощью подписчиков местной конференции нашла этот форум, молчать больше не могу. Пусть D-Link выкладывает прошивки без несанкционированных запросов к тайм-серверам, после этого я прекращу свою деятельность в очернении D-Link. Я уже дала распоряжение в филиал, чтобы там выкинули все железки, где есть логотип D-Link (свич да сетевые карты). Доверия к ним больше нет.

     
     
  • 2.91, petr999 (??), 10:57, 18/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > Имхо, админ тайм-сервера поступает правильно.
    >по 3Мб в среднем. Каждые 20 сек. Итого 6 гиг в
    >убытке. Провайдеру все-равно от чего такой трафик. Кому мне теперь счет
    >переслать? У меня зарплата в 2 раза меньше, я убытки не
    >покрою!

    мадам Петрова, разрешите уточнить:
    --- Вы подписывали мат. ответственность за трафик?
    --- Вы принимали решение о покупке вышеозначенной веб-камеры?

    >Короче в первый день утром после праздников отрубила я эту камеру нах
    >- никакого доступа за пределы роутера (слава 3com!!!). Пусть ищут другую
    >возможность организации видеонаблюдения. Мне оплачивать трафик из своего кармана удовольствия не
    >доставляет.

    --- Ваша ЗП всего 6000 ( 6G*2(минимум для Самары)RUR/M / 2 )? для Самары это действительно мало с Вашим опытом. Сомнения вызывает и то, что в прошлом своём сообщении Вы упоминали исключительно моральный ущерб. Угодно ли Вам будет развеять данные сомнения?
    --- почему Вы до сих пор не настрили фаерволл для данного устройства, то есть, не обеспечили ей ровно те порты, которые нужны для работы (для задач видеонаблюдения точно в 5 миллисекунд не нужна)? почему Вы до сих пор не внедрили систему учёта и ограничения трафика по потребителям на предприятии? одну из них разработал, вышлю по запросу (проект на сф.нет ещё только проапрувился) и отвечу на вопросы, например, я, и такую задачу она явно потянет.

    >могу. Пусть D-Link выкладывает прошивки без несанкционированных запросов к тайм-серверам, после
    >этого я прекращу свою деятельность в очернении D-Link. Я уже дала

    ну хотя 3ком действительно лучше для SMB. Вопрос: как Вы проверите отсутствие этих самых запросов без исходников? тем более что...
    >Доверия к ним больше нет.

    >распоряжение в филиал, чтобы там выкинули все железки, где есть логотип
    >D-Link (свич да сетевые карты).

    ммм. а какие потери будут у конторы от простоя, вызванного ожиданием замены?

     
     
  • 3.94, Асташкина Ирина (?), 07:56, 19/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А Вы кто По нику не узнаю отношения с работодателями строятся не на подписанн... большой текст свёрнут, показать
     
     
  • 4.95, petr999 (??), 10:17, 19/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    как трогательно наивно знаете, такими темпами я скоро перестану удивляться, ч... большой текст свёрнут, показать
     
     
  • 5.96, Асташкина Ирина (?), 15:07, 23/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Вы, неизвестный мне человек, взяли на себя смелость считать мои доходы и расходы, высмеивать меня, называть наивной... Я не знаю и хочу знать, чем продиктованы ваши действия и не считаю себя обязанной оправдываться.

    Разговор закончен.

     
     
  • 6.97, petr999 (??), 09:49, 24/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы, неизвестный мне человек,

    да, я такой :)

    > взяли на себя смелость считать мои доходы и
    >расходы, высмеивать меня, называть наивной...

    да тут и высмеивать ничего не надо --- Вы сами всё про себя рассказали, да ещё и ошибки в арифметике, которые Вы допускаете, торчат.

    > Я не знаю и хочу знать,
    >чем продиктованы ваши действия

    я пр Вас тоже многого не хочу знать, но, если Вы выносите тему на обсуждение, то за слова ответить всё-таки придётся.

    > и не считаю себя обязанной оправдываться.

    я тоже

    >Разговор закончен.

    действительно, Вам же нечго больше сказать по теме. :)

     
  • 2.92, universite (ok), 15:30, 18/05/2006 [^] [^^] [^^^] [ответить]  
  • +/

    > У меня вот схожая ситуация: Интернет-Камера DCS-3220G в майские праздники не
    >с того ни с сего начала отправлять на тайм-сервер 192.6.38.127 пакеты
    >по 3Мб в среднем. Каждые 20 сек. Итого 6 гиг в
    >убытке. Провайдеру все-равно от чего такой трафик. Кому мне теперь счет
    >переслать? У меня зарплата в 2 раза меньше, я убытки не
    >покрою!

    А нафига было эту камеру наружу пускать????
    В крайнем случае натить 80 порт для доступа к этой камере.

    P.S. у меня по умолчанию все железки считаются враждебными.

     
     
  • 3.93, Асташкина Ирина (?), 06:55, 19/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >А нафига было эту камеру наружу пускать????

    кто ж знал, что она сама полезет!

    >В крайнем случае натить 80 порт для доступа к этой камере.

    входящие пакеты зафильтрованы, к тому же прямого доступа к камере все-равно нету.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру