| |
| 2.6, Аноним (-), 23:42, 20/09/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются (у меня лично - во всех, ибо на bind наложен небольшой патчик, благодаря которому он не удаляет записи из кэша при истечении TTL).
| | |
| |
| 3.7, Serge (??), 23:55, 20/09/2013 [^] [^^] [^^^] [ответить]
| +10 +/– | |
и, наверное, и не обновляет их?
PS. выстрел себе даже не в ногу, а прямо в голову
| | |
| 3.9, Аноним (-), 00:09, 21/09/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> благодаря которому он не удаляет записи из кэша при истечении TTL)
После чего некто будет долго чесать репу: а чего это у меня не грузится вон тот сайт, а у остальных все пучком? Ах, у сайта айпишник сменился?!
| | |
| |
| 4.20, Аноним (-), 05:43, 21/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> После чего некто будет долго чесать репу: а чего это у меня
> не грузится вон тот сайт, а у остальных все пучком? Ах,
> у сайта айпишник сменился?!
Разумеется кэш обновляется.
| | |
|
| 3.73, rost (?), 20:35, 22/09/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются
> (у меня лично - во всех, ибо на bind наложен небольшой
> патчик, благодаря которому он не удаляет записи из кэша при истечении
> TTL).
тогда уж лучше юзать unbound. там эта фича есть из коробки (prefetch вроде называется)
| | |
|
| |
| 3.74, rost (?), 20:39, 22/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> для дома есть Dnsmasq
dnsmasq отличная штука. жаль только не умеет рекурсивные запросы.
| | |
|
| 2.87, Аноним (-), 16:45, 23/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
от Djb или unbound-а - есть.
а вообще для кэширования лучше использовать Отедельные, ДРУГИЕ сервисы, де-факто.
практически.
| | |
|
| 1.3, Аноним (-), 23:16, 20/09/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
конечно нет. 8.8.8.8 или 4.2.2.2 отвечают значительно быстрее чем домашний)
| | |
| |
| |
| 3.75, rost (?), 20:48, 22/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.
ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее :)
| | |
| |
| 4.88, Аноним (-), 16:47, 23/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.
> ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее
> :)
кстати, возможно,
о связах ISC и NSA давно муссируется в прессе )
гонконгский создатель/спонсор unbound по такой логике - должен "сливать" в Ми-6. если КПК разрешит ;)
| | |
|
|
| |
| 3.86, SirZ (ok), 06:10, 23/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Начиная с 4.2.2.1 по 4.2.2.6 - публичные DNS Level 3 communications.
| | |
|
| 2.21, Аноним (-), 05:48, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> конечно нет. 8.8.8.8 или 4.2.2.2 отвечают значительно быстрее чем домашний)
Если кто из вышеответивших не понял, товарищ Аноним сакразмирует.
Эта гугловская муть, во-первых, несравнимо дальше даже провайдера (у меня - в 50 раз), не говоря уже о доме. Во-вторых, отвечает прежде всего гуглу о ваших пристрастиях, а также может им фильтроваться по приказу роскомнадзора или ещё какой пакости.
| | |
| |
| |
| 4.48, Дядя_Федор (?), 19:59, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Внезапно: Роскомнадзор блокирует по IP
Роскомнадзор вообще ничего не блокирует. Он всего лишь ведет пресловутый "реестр", которые обязаны загружать провайдеры. Ну а уж сам провайдер вправе выбирать способ блокировки - IP или конкретный URL. Мы, например, блокируем по URL. Ввиду наличия оборудования DPI (CISCO SCE-8080).
| | |
| |
| 5.51, anonymous (??), 22:41, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Внезапно: Роскомнадзор блокирует по IP
> Роскомнадзор вообще ничего не блокирует. Он всего лишь ведет пресловутый "реестр",
> которые обязаны загружать провайдеры. Ну а уж сам провайдер вправе выбирать
> способ блокировки - IP или конкретный URL. Мы, например, блокируем по
> URL. Ввиду наличия оборудования DPI (CISCO SCE-8080).
Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной по отношению к абоненту.
| | |
| |
| 6.52, Аноним (-), 23:41, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
Для DNS без разницы, какой там path внутри сайта, оно весь домен кроет.
Другое дело, что обойти ее проще, это да. При определенном рас3.14здяйстве со стороны прова, конечно.
| | |
| 6.59, Дядя_Федор (?), 10:34, 22/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной
> по отношению к абоненту.
Самой НАИБОЛЕЕ гуманной по отношению к абоненту является блокировка конкретного URL, указанного в реестре. Если заблокировать весь фейсбук (например), вместо конкретной ссылки - сомневаюсь, что это найдет понимание среди абонентов. Естественно, подобная блокировка требует наличия оборудования DPI (либо ее имитации). Что довольно накладно, но необходимо.
| | |
|
|
|
|
|
| |
| |
| 3.47, Дядя_Федор (?), 19:56, 21/09/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в виде сторонних патчей
Возможно и так. Но в gentoo на моих серверах USE-флаг RRL был уже давно. И активно лично мной используется уже полгода как. Вполне допускаю, что сборки для gentoo бинда были сделаны с этими патчами.
| | |
| |
| 4.54, Аноним (-), 23:46, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> в виде сторонних патчей
> Возможно и так. Но в gentoo на моих серверах USE-флаг RRL
> был уже давно. И активно лично мной используется уже полгода как.
> Вполне допускаю, что сборки для gentoo бинда были сделаны с этими
> патчами.
Это левый патч. См, например, bind-9.9.3_p2.ebuild, строчка 51.
| | |
|
|
|
| 1.10, Аноним (-), 00:26, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.
Замечательно. Они изобрели
iptables -I OUPTUT -p udp --sport 53 -m hashlimit --hashlimit-mode dstip --hahslimit-above $NUMBER/sec --hahslimit-name RRLNIH -j DROP
?
| | |
| |
| 2.12, Аноним (-), 00:29, 21/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
(Хотя, конечно, идеологически более правильно пихать такое в INPUT, чтобы не грузить процесс бинда почем зря)
| | |
| |
| 3.31, ананим (?), 13:41, 21/09/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Верно. И подобную запись нужно таки сделать.
Вот только в OUTPUT тоже надо оставить, т.к. перманентно-точно известен только хост атакуемого таким способом.
| | |
|
| 2.25, тигар (ok), 10:20, 21/09/2013 [^] [^^] [^^^] [ответить]
| –7 +/– |
 >> RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.
> Замечательно. Они изобрели
> iptables -I OUPTUT -p udp --sport 53 -m hashlimit --hashlimit-mode dstip --hahslimit-above
> $NUMBER/sec --hahslimit-name RRLNIH -j DROP
> ?
подсказка:
iptables: Command not found.
подсказка2:
с rrl этот же конфиг можно будет использовать везде где есть bind соответствующей версии.
| | |
| |
| 3.27, Аноним (-), 11:56, 21/09/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
> подсказка:
> iptables: Command not found.
Фу, выбрось каку!
| | |
| |
| |
| 5.32, ананим (?), 13:42, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
это понятно.
вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторить?
а то прям первым пунктом пишет.
| | |
| |
| |
| 7.35, ананим (?), 14:35, 21/09/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
То есть ты хочешь сказать, что раз тигер ipfw не осилил, то iptables тем более не смог?
| | |
| 7.42, Аноним (-), 19:29, 21/09/2013 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> у iptables слишко дерьмовый синтаксис
Стандартный юниксно-позиксный синтаксис командной строки не нравится? Тогда вперед на винду :)
| | |
| 7.89, Аноним (-), 16:49, 23/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> у iptables слишко дерьмовый синтаксис
у это не у iptables синтаксис кривой, это у netflow linux/netfilter которым тот рулит - "дерьмовый синтаксис". но было бы странно если бы он с ним общался на другом языке, именно ПОЭТОМУ, увы. но наркоманы, писавшие netflow для linux - наверняка из АНБ )
| | |
|
| 6.44, Аноним (-), 19:42, 21/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> на ipfw этого нельзя повторить?
Низя. И на pf тоже. Там можно ограничить только скорость открытия новых соединений. А это нормально работает только с TCP.
| | |
| |
| |
| 8.53, Аноним (-), 23:43, 21/09/2013 [^] [^^] [^^^] [ответить] | +/– | Брутфорс обычно идет поверх TCP, там оно кай-как работает Если, конечно, на уро... текст свёрнут, показать | | |
| 8.68, Аноним (-), 16:46, 22/09/2013 [^] [^^] [^^^] [ответить] | +1 +/– | А вот так объявляют это проблемой прикладного софта Если у в нашем любимом S... текст свёрнут, показать | | |
|
|
| 6.57, тигар (ok), 09:51, 22/09/2013 [^] [^^] [^^^] [ответить]
| –8 +/– |
> это понятно.
> вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторить?
> а то прям первым пунктом пишет.
щито?
а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или блондинистый. как прочевшему коммент будет менее обидно;-)
| | |
| |
| 7.61, ананим (?), 11:07, 22/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
был бы пидерастовский, то тебе бы нравился.
а так, только лишь соответствует POSIX'у.
| | |
| |
| 8.77, тигар (ok), 22:49, 22/09/2013 [^] [^^] [^^^] [ответить] | –3 +/– | мальчик, когда я осознал насколько он пидерастический, я, кщастью, сменил ОС, с ... текст свёрнут, показать | | |
| |
| |
| 10.83, тигар (ok), 23:55, 22/09/2013 [^] [^^] [^^^] [ответить] | –2 +/– | не нужно выдавать желаемое за действительное, йунаша все еще проще, на той рабо... текст свёрнут, показать | | |
|
|
|
| 7.66, Аноним (-), 16:42, 22/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
> а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
> блондинистый. как прочевшему коммент будет менее обидно;-)
Вы путаете с sendmail.cf.
| | |
| 7.67, Аноним (-), 16:45, 22/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
> блондинистый. как прочевшему коммент будет менее обидно;-)
Кстати, блондинистые убунтята без проблем нагородили поверх айпистолов pf-подобный ufw.
Что как бы намекает нам, что iptables - для взрослых мужиков, а pf/ipfw/ufw - для блондинок и убунтят.
| | |
| |
| 8.78, тигар (ok), 22:50, 22/09/2013 [^] [^^] [^^^] [ответить] | –1 +/– | чуть выше ты упомянул sendmail cf он чо, тоже для взрослых мужиков , а для блон... текст свёрнут, показать | | |
|
|
|
| 5.70, Аноним (-), 16:59, 22/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> чел прется от ipfw
Чел убунтенок? У них там тоже клуб прущихся по ipfw-синтаксису.
Скоро они и до coreutils доберутся, будет у них вместо "ls -alt" - "uls show me all long in current dir sorted by time"
| | |
| |
| 6.79, тигар (ok), 22:53, 22/09/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> чел прется от ipfw
> Чел убунтенок? У них там тоже клуб прущихся по ipfw-синтаксису.
они просто уже успели осознать насколько ущербен синтаксис таблиц, по сравнению с аналогами ([i]pf, ipfw). а может у них тупо капс-лок сломан и шифты тоже.
> Скоро они и до coreutils доберутся, будет у них вместо "ls -alt"
> - "uls show me all long in current dir sorted by
> time"
ну это ваше, линапсоедное, будущее. посмотришь сам лет через 5 во что превратят его ;-)
| | |
|
|
|
| 3.43, Аноним (-), 19:30, 21/09/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
> подсказка:
> iptables: Command not found.
Мои соболезнования. Попробуйте поставить нормальную ОС?
> подсказка2:
> с rrl этот же конфиг можно будет использовать везде где есть bind
> соответствующей версии.
Можно. Но зачем?
| | |
| |
| 4.56, тигар (ok), 09:49, 22/09/2013 [^] [^^] [^^^] [ответить]
| –4 +/– |
>> подсказка:
>> iptables: Command not found.
> Мои соболезнования. Попробуйте поставить нормальную ОС?
О! Расскажи какая ОС - нормальная. а то тут местные долбое^Wспециалисты зачем-то рассказывают что это про линукс.
>> подсказка2:
>> с rrl этот же конфиг можно будет использовать везде где есть bind
>> соответствующей версии.
> Можно. Но зачем?
чтобы не решать средствами быдлотаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx будут таблицами закрывать вместо того чтобы док-цию на ngx почитать. и точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"
| | |
| |
| 5.62, ананим (?), 11:13, 22/09/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>чтобы не решать средствами быдлoтаблиц задачи прикладного ПО
ага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS.
при этом гоняя быдлoзапросы из кернел-спейса в юзер-спейс и обратно.
а местный тигар то любитель шкурку погонять, угу.
| | |
| |
| 6.71, Аноним (-), 17:01, 22/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну надо ж как-то оправдаться, что его любимый воннаби-фаервол не умеет базовых функций фильтрации пакетов :)
| | |
| 6.80, тигар (ok), 22:55, 22/09/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>чтобы не решать средствами быдлoтаблиц задачи прикладного ПО
> ага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS.
поржал, приши еще, специолизд
http://wiki.nginx.org/HttpLimitReqModule тут афтары, по всей видимости, латают промахи в http. жги истчо.
> при этом гоняя быдлoзапросы из кернел-спейса в юзер-спейс и обратно.
ад-то какой. и ЧСХ таких спецов все больше и больше ;(
> а местный тигар то любитель шкурку погонять, угу. | | |
|
| 5.65, Аноним (-), 16:41, 22/09/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> О! Расскажи какая ОС - нормальная.
Линукс, например. Но добое^Wблондинки, конечно, не согласятся :)
> чтобы не решать средствами быдлoтаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx
> будут таблицами закрывать вместо того чтобы док-цию на ngx почитать.
Не надо пытаться компенсировать ущербность фаервола, нагружая прикладной софт.
> точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ
> -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"
Не нравится юниксовый синтаксис? Бегом на винду.
| | |
| |
| 6.85, тигар (ok), 00:07, 23/09/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> О! Расскажи какая ОС - нормальная.
> Линукс, например. Но добое^Wблондинки, конечно, не согласятся :)
нука-нука, расскажи подробнее, в каком он месте "нормальная ОС" (меня всегда потешало наблюдать за болванчиками)
>> чтобы не решать средствами быдлoтаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx
>> будут таблицами закрывать вместо того чтобы док-цию на ngx почитать.
> Не надо пытаться компенсировать ущербность фаервола, нагружая прикладной софт.
и заодно расскажи, в каком месте фаервол ущербен. на выбор даже даю: pf и ipfw, можешь выбрать слабые стороны и поведать о них, ты же знаешь что они могут/не могут, правда?;)
>> точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ
>> -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"
> Не нравится юниксовый синтаксис? Бегом на винду.
нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)
| | |
| |
| 7.91, anonymous (??), 18:53, 23/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)
Ну да, и SSH-клиент у тебя называется putty.exe.
| | |
| |
| 8.92, тигар (ok), 21:33, 23/09/2013 [^] [^^] [^^^] [ответить] | –1 +/– | даже когда я использовал виндуз я не юзал это говно в силу того, что telneat she... текст свёрнут, показать | | |
|
|
|
| 5.95, Crazy Alex (ok), 20:31, 25/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Ну ты натурально идиот. Действительно - зачем универсальный инстумент, путсь каждая тулза делает свой дубль одного и того же функционала. И да, это ж так плохо - выделить имя таблицы большими буквами, чтобы его сразу видно было. Что до меня - я бы еще и раскраску синтаксиса прямо в шелле сделал.
| | |
| |
| 6.96, тигар (ok), 21:57, 25/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ну ты натурально идиот. Действительно - зачем универсальный инстумент, путсь каждая тулза
> делает свой дубль одного и того же функционала. И да, это
к счастью, есть люди у которых есть мозги (это я про разработчиков ngx, bind и тд, не про тебя).
почему "к счастью" и почему "каждая тулза делает свой дублю одного и того же функционала" если не понимаешь - твои проблемы.
> ж так плохо - выделить имя таблицы большими буквами, чтобы его
> сразу видно было. Что до меня - я бы еще и
> раскраску синтаксиса прямо в шелле сделал.
что до тебя так ты б и говнобаш везде расставил. это "раз".
два: я в говне давно не ковыряюсь, но что-то мне подсказывает что это не "имя таблицы", a chain - цепочка. если уж речь о iptables -I INPUT/OUTPUT/FORWARD. мне правда крайне влом смотреть мануал на говнотаблицы, я на 99% уверен в своей правоте и твоей ламернутости.
и вот да, пока набирал "INPUT/OUTPUT/FORWARD" с зажатым shift 2 раза назвал афтарав этого УГ пидерастами.
ну и три: так сделай раскраску же, розовеньким, к примеру. слабо?;-)
| | |
|
|
|
|
|
| 1.11, Аноним (-), 00:27, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы
Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё не отобрали лицензию?
| | |
| |
| 2.90, Аноним (-), 16:52, 23/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы
> Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё
> не отобрали лицензию?
да у б-ва даже RFC3074 не настроено )
чего уж о следующих вещал.
syncookie они не врубают, тк античный scaling при нем не работает(изыйде Циско !), те про DTCP и СTCP они - не слышали, видимо.
итд итп.
| | |
|
| 1.26, Dfox (?), 10:50, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё не отобрали лицензию?
Ага и за внешние ip тогда давайте отбирать лицензию. А можно просто за выход пользователя в интернет сразу закрывать провайдера и никаких проблем.
| | |
| |
| 2.36, Аноним (-), 15:54, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты с SRC 93.x.x.x как такое вообще допускают?
| | |
| |
| 3.37, продавец_кирпичей (?), 16:18, 21/09/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты
> с SRC 93.x.x.x как такое вообще допускают?
Вы прослушали вопрос админа локалхоста и суппортера ссетки в бухгалтерии.
Патамушта БыГыПы
| | |
| |
| 4.39, Аноним (-), 17:01, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Патамушта БыГыПы
Ну и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а потом с них начинают слать пакеты "путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы"? Очень смешно :)
| | |
| |
| 5.40, anonymous (??), 19:11, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Патамушта БыГыПы
> Ну и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты
> сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а
> потом с них начинают слать пакеты "путем отправки запросов с фиктивного
> обратного адреса, указывающего на IP жертвы"? Очень смешно :)
На самом деле, правильно разделять бордеры (BGP) и BRAS'ы, где терминируются абоненты.
Таким образом удается избежать проблем false positives на интерфейсах c BGP-сессиями (т.е. вообще отключить там RPF) и избежать спуфинга адресов, включив его на том интерфейсе, где абонент терминируется. К сожалению, большинство мелких провайдеров имеет одно оборудование, служащее и бордером, и брасом, да еще и биллингом, зачастую.
| | |
|
|
| 3.50, Dfox (?), 21:35, 21/09/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты с SRC 93.x.x.x как такое вообще допускают?
Вы просто путаете провайдера с подсетью 80.x.x.x.
| | |
|
|
| 1.28, Нанобот (ok), 12:23, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 в этом был бы смысл, если бы оно было включено по-умолчанию, да и то, только в долгосрочной перспективе, когда на этих "миллионах открытых резолверов" переставят/обновят ОС. а так - ну включат через год на 0.1% резолверов эту фичу, ну уменьшится трафик на пару гигабит/с...никто и не заметит разницы
| | |
|
