https://opennet.ru/openforum/vsluhforumID3/44173.html Шведские специалисты по компьютерной безопасности Роберт Ли (Robert E. Lee) и Джек Льюис (Jack C. Louis), исследуя особенности работы TCP/IP стека, обнаружили (http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_id=164939) фундаментальную проблему безопасности, дающую возможность вызова отказа в обслуживании всех известных реализаций TCP/IP стека, не требуя при этом отправки гигантских объемов пакетов. Детали связанные с техникой проведения атаки будут представлены на конференции T2, которая пройдет в этом месяце в городе Хельсинки. <br><br><br>Для совершения атаки не обязательно прибегать к услугам многотысячных зомби сетей, метод Роберт Ли и Джек Льюис позволяет нарушить работоспособность любой системы, используя один компьютер, подключенный к сети по типичному каналу связи. Несмотря на то, что производители межсетевых экранов и операционных систем уже давно получили уведомление о данной уязвимости, придумать вариант исправления или обходной путь решения проблемы так и не удалось.<br><br><br>URL: http://www.darkrea https://opennet.ru/openforum/vsluhforumID3/44173.html#143 Tue, 07 Oct 2008 06:59:43 GMT Бред в новости насчет SYN cookies.<br>В оригинальном подкасте Роберт только аналогию приводил. Они тут вообще не причем. И их отключение никак не поможет защититься от атаки.<br>Хоть бы разобрались в проблеме, прежде чем писать.<br>На insecure.org отличная статья на эту тему. Opennet все больше превращается в желтую прессу.<br> https://opennet.ru/openforum/vsluhforumID3/44173.html#142 Tue, 07 Oct 2008 06:59:16 GMT &gt;... а по ID соты как бы еще и сектор известен.То есть, <br>&gt;известен довольно небольшой пятачок - ~треть кольца толщиной в 500 метров.Это <br>&gt;конечно не как в GPS но и не так уж плохо.Данный <br><br>CellID как показал опыт пустое... телефон как правило видит несколько секторов (порой все) одной БС и свободно прыгает между ними...<br><br>&gt;клочок территории при нужде реально прочесать граблями.А уж если мобила несколько <br>&gt;сот поюзает - и вовсе замечательно - пересечение таких колец, там <br>&gt;уже и про 100 метров будет. <br><br>если уж чесать граблями то можно и 500м прочесать и 1км ;)<br><br>&gt;Для начала, TA в принципе доступен при любом обмене данными соты с <br>&gt;мобильником.Это довольно базовый элемент протокола, нужный из-за деления использования эфира по <br>&gt;времени (aka TDMA).Грубо говоря, физический смысл TA - скорость распостранения электромагнитных <br><br>это все понятно, я просто опять применительно к софту со стороны мобильника )<br><br>&gt;<br>&gt;&gt;и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со <br>&gt;&gt;сторонами в 5 https://opennet.ru/openforum/vsluhforumID3/44173.html#141 Tue, 07 Oct 2008 06:10:28 GMT &gt;ТА дает точность ~500м,<br><br>... а по ID соты как бы еще и сектор известен.То есть, известен довольно небольшой пятачок - ~треть кольца толщиной в 500 метров.Это конечно не как в GPS но и не так уж плохо.Данный клочок территории при нужде реально прочесать граблями.А уж если мобила несколько сот поюзает - и вовсе замечательно - пересечение таких колец, там уже и про 100 метров будет.<br><br>&gt;TA доступно только во время разговора (хотя есть большая уверенность что и во<br>&gt;время GPRS сессии), ТА доступно для БС в которой зарегистрирован мобильник<br>&gt;(правда ничто не мешает оператору принудить сменить БС) <br><br>Для начала, TA в принципе доступен при любом обмене данными соты с мобильником.Это довольно базовый элемент протокола, нужный из-за деления использования эфира по времени (aka TDMA).Грубо говоря, физический смысл TA - скорость распостранения электромагнитных волн (скорость света) не бесконечна.TA - это поправка на расстояние. Без использования TA пакеты просто не будут попадать в свои таймслоты из-за задержки вызван https://opennet.ru/openforum/vsluhforumID3/44173.html#140 Tue, 07 Oct 2008 05:55:57 GMT [оверквотинг удален]<br>&gt;но вот в Вашем случае получается, что остальная часть агрегата - <br>&gt;процессоры просто простаивали... <br><br>Ну и что? =)<br>Лучше иметь переизбыток мощности, чем её недостаток. <br>К тому же 1,5 свободных ядра из 4 возможных не такой уж большой запас.<br><br> https://opennet.ru/openforum/vsluhforumID3/44173.html#139 Mon, 06 Oct 2008 21:29:07 GMT &gt;[оверквотинг удален]<br>&gt;0 0 S 0.0 0.0 <br>&gt; 0:01.78 migration/3 <br>&gt; 10 root 15 <br>&gt;-5 0 0 <br>&gt; 0 S 0.0 0.0 29h56:10 <br>&gt;ksoftirqd/3 <br>&gt; 11 root 15 <br>&gt;-5 0 0 <br>&gt; 0 S 0.0 0.0 <br>&gt;1:41.15 events/0 <br><br>да действительно, производительность пересылки неплохая<br>мне удалось в качестве эксперемнта проверить скорость загрузки файла с ftp-сервера, через тестовый PC-роутер - обычная машина с Linux на xeon 2.8GHz, встроенные 2xintel 82541GI(машина без NAT,IP forwarding так же озадаченна и загруженна нормально), но при скорости потока 360-400Мб/сек, на irq было до 25%, что собственно и есть нормально, к сожелению ftp-сервер не мог отдать быстрее, но вот в Вашем случае получается, что остальная часть агрегата - процессоры просто простаивали...<br> https://opennet.ru/openforum/vsluhforumID3/44173.html#138 Mon, 06 Oct 2008 10:33:22 GMT Кстати, поставил irqbalance (что-то мы про него забыли %-) при установке ), картинка htop изменилась на такую (всё та же средняя нагрузка):<br><br><br> 1 [ 0.0%] Tasks: 75 total, 1 running<br> 2 [&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124; 65.8%] Load average: 0.00 0.03 0.07<br> 3 [ 0.0%] Uptime: 38 days, 14:03:30<br> 4 [&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124; 69.7%]<br> Mem[&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124;&#124; https://opennet.ru/openforum/vsluhforumID3/44173.html#137 Mon, 06 Oct 2008 10:25:33 GMT &gt;&gt;[оверквотинг удален]<br>&gt;За информацию спасибо, не нужно все вопрринимать агресивно, вас же никто не <br>&gt;обидел или оскорбил. <br><br>Где ж я агрессивно воспринял? На пустое "не верю" я ответил вполне конкретными цифрами, мы с вами так и вообще вроде вполне нормально общаемся.<br><br>&gt;этот "тюнинг" (к стати я не понимаю почему этим словом называют), по <br>&gt;факту оптимизирует только TCP, но не убирает прерывания сетевых интерфейсов с <br>&gt;CPU <br><br>Не убирает, да. <br>Но вот в чём дело - сокращение передачи обработки прерываний с процессора путём увеличения очереди пакетов неизбежно ведёт к увеличению временнЫх задержек на интерфейсе, пусть и путём уменьшения загрузки на CPU. Смысла в этом я не вижу - сетевуха гигабит с текущей загрузкой проца нормально пропускает.<br><br>&gt;<br>&gt;единственное, что немного может улучшить так это увелечение входящей очереди интерфейса, увеличение таблицы arp, <br><br>Неактуально - до этого шлюза маршрутизируется (и шейпится) на Cisco 6504, так что у него всего две arp-записи.<br><br>&gt;я не совсем понимаю зачем опт https://opennet.ru/openforum/vsluhforumID3/44173.html#136 Mon, 06 Oct 2008 10:12:03 GMT &gt;&gt;Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог <br>&gt;&gt;%-О <br>&gt;<br>&gt;любой программой, например iptraf <br><br>О как. Я привык к FreeBSD'шной стандартной netstat и иже с ней, которые накапливают статистику за время работы. Неужто в линуксе похожего нет?<br><br>&gt;я так понимаю это работает "быстро" от того, что в системе несколько <br>&gt;CPU?<br><br>"Быстро" можно и без кавычек ставить. =)<br>По нашим ощущениям нет, не от этого. Я загрузку выше приводил, там хорошо видно, что загружено всего одно ядро.<br><br>&gt; кстати уровень задержки средний при средней загрузки какой ? <br><br>Предвижу очередной взрыв недоверия =), но тем не менее при средней загрузке максимум 2 мс.<br>При максимальной загрузке 30-50 мс, но это уже физика, никуда не денешься - ну не лезет больше 1Гбита, никак =)<br>Сегодня jumbo frame включил, посмотрим, поможет ли.<br>Ниже вывод iptraf (который, к слову, сам конкретно грузит сеть) конкретно сейчас, в момент средней нагрузки:<br> https://opennet.ru/openforum/vsluhforumID3/44173.html#135 Mon, 06 Oct 2008 08:06:44 GMT &gt;[оверквотинг удален]<br>&gt;kernel.panic=5 <br>&gt;net.ipv4.tcp_tw_reuse=1 <br>&gt;net.ipv4.tcp_tw_recycle=1 <br>&gt;net.ipv4.ip_local_port_range=3000 65535 <br>&gt;net.ipv4.neigh.default.gc_thresh1 = 512 <br>&gt;net.ipv4.neigh.default.gc_thresh2 = 1024 <br>&gt;net.ipv4.neigh.default.gc_thresh3 = 2048 <br>&gt;<br>&gt;Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог <br>&gt;%-О <br><br>За информацию спасибо, не нужно все вопрринимать агресивно, вас же никто не обидел или оскорбил.<br>этот "тюнинг" (к стати я не понимаю почему этим словом называют), по факту оптимизирует только TCP, но не убирает прерывания сетевых интерфейсов с CPU<br><br>единственное, что немного может улучшить так это увелечение входящей очереди интерфейса, увеличение таблицы arp, я не совсем понимаю зачем оптимизировать tcp на по сути L3 устройстве, если до заголовка транспортного ровня он вовсе не доходит.<br>