Шведские специалисты по компьютерной безопасности Роберт Ли (Robert E. Lee) и Джек Льюис (Jack C. Louis), исследуя особенности работы TCP/IP стека, обнаружили (http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_i...) фундаментальную проблему безопасности, дающую возможность вызова отказа в обслуживании всех известных реализаций TCP/IP стека, не требуя при этом отправки гигантских объемов пакетов. Детали связанные с техникой проведения атаки будут представлены на конференции T2, которая пройдет в этом месяце в городе Хельсинки.
Для совершения атаки не обязательно прибегать к услугам многотысячных зомби сетей, метод Роберт Ли и Джек Льюис позволяет нарушить работоспособность любой системы, используя один компьютер, подключенный к сети по типичному каналу связи. Несмотря на то, что производители межсетевых экранов и операционных систем уже давно получили уведомление о данной уязвимости, придумать вариант исправления или обходной путь решения проблемы так и не удалось.
URL: http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_i...
Новость: http://www.opennet.me/opennews/art.shtml?num=18228
Инету в его нынешнем виде, скорее всего - rip xD
>Инету в его нынешнем виде, скорее всего - rip xDага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным контролем спец-служб, с полным выходом на источник. Выход один - создание закрытых внутренних зашифрованных сетей типа VPN и кроме этого использовать асинхронное шифрование в почте, мессенджерах, и в VoIP. Но так чтобы не возможно было реалиловать MITM атаку.
>>Инету в его нынешнем виде, скорее всего - rip xD
>
>ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным
>контролем спец-служб, с полным выходом на источник. Выход один - создание
>закрытых внутренних зашифрованных сетей типа VPN и кроме этого использовать асинхронное
>шифрование в почте, мессенджерах, и в VoIP. Но так чтобы не
>возможно было реалиловать MITM атаку.асинхронное? может, всё-таки, асимметричное? :)
мдя, ну конечно, оговорился, что называется )))
А я вот покамест читаю эту страницу.
И сервера мои все доступны.
Фундаментальная уязвимость - фундаментальное же и исправление.
Попердим, когда хотя бы полсотни сервисов окажутся обваленными этой уязвимостью... Ага?
>Выход один - создание закрытых внутреннихВыход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по твоему мобильнику и даже через него могут на тебя ракету навести в форточку.
>>Выход один - создание закрытых внутренних
>
>Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по
>твоему мобильнику и даже через него могут на тебя ракету навести
>в форточку.А зачем вообще нужен мобильный телефон?
>А зачем вообще нужен мобильный телефон?Ну, мало ли, вот случится с вами какая-то дрянь за несколько км от проводного телефона - так и подохнете, потому что скорую вызвать или сообщить о проблемах - не сможете.
>Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют"Тотально не получится - ушей не хватит слушать. До некоторой степени могут. А вы если понимаете как это работает можете до некоторой степени усложнить задачу, подняв планку. Правда если вы Бин Ладен это может и не помочь, а в случае average joe...
P.S. а наводить по мобильнику ракеты - это да... типа, палить ракетами в белый свет как в копеечку?Ну, если вы живете в тайге и там 1 домик на 5 кв. км - да, без проблем.А вот в городе при точности определения места мобилы 500 метров придется разбомбить нахрен целый район.А не много ли чести для одного дятла?
При такой большой рабочей частоте мобильника точность определения значительно меньше 500м и соответственно ракета попадет точно в цель, как и группа спецназа.
>При такой большой рабочей частотеЧастота частотой а сама по себе частота никаких координат не передает.И это вам не просто передатчик вещающий постоянно и монопольно на одной частоте.
Т.е. в вакууме, в открытом космосе, если забыть об всяких там отражениях сигнала, делении этой частоты с другими мобильниками (фразы TDMA что-то говорит?) и прочая - ну да, вы правы, сферический мобильник в вакууме действительно подбить можно попытаться, с неизвестным успехом.А в городе где в радиусе несколько сотен метров несколько сотен мобил из которых и другие не забудут поюзать ту же частоту (ибо TDMA) - придется ограничиться сотнями метров (длина таймслота TDMA).В идеальном случае (пингование сразу несколькими БСками с разных точек) - будет пересечение секторов 500-метрового кольца.Все-равно довольно большой пятачок территории.Если это пространство застроено обычными городскими многоэтажками - задолбаться можно там искать.Если это чисто поле - ну да, влип клиент, можно и просто пробомбить нужную территорию :)
> мобильника точность определения значительно меньше 500м и
Ну, пересечение секторов в 500 метров.Сильно полегчало?
>соответственно ракета попадет точно в цель, как и группа спецназа.
Таким методом они будут неделю прочесывать нужный район.Многовато чести для заурядной персоналии - чтобы вам уделили столько внимания, придется стать каким-то выдающимся злодеем как минимум.На самом деле все проще.Если вы звонили кому-то знакомому с этой мобилы - так черт побери есть логи.Ну, посмотреть кому вы звонили, они то вас и сдадут где вы там живете и прочая с точностью до почтового адреса - вот тут уже промах (как минимум спецназа) исключается.
>>При такой большой рабочей частоте...Расскажите эту лабуду жителям Цхинвала....
А грызуны там как раз били по мобильникам в том числе....
>Расскажите эту лабуду жителям Цхинвала....
>А грызуны там как раз били по мобильникам в том числе....Они били по любому радиосигналу в очень широком диапазоне, который снимался специальной сетью. Кроме того, они били по площадям и все равно не очень точно.
Т.е. заметили какой-то источник скажем, в 900Mhz, вычислили примерное место по затуханию сигнала до нескольких своих РЭБ-станций - и на всякий случай долбанули по площадям в ожидаемом месте.
В общем, это так - больше страшилка, чем реальное наведение на мобильник, тем более, какой-то конкретный. Вот с Дудаевым - да, была такая история. Но там очень и очень непросто было все реализовано и подход был исключительно индивидуальный. Тем более, там, по условию задачи, в чистом поле был один единственный _спутниковый_ телефон.
Тут все намного сложнее.
Вам любой связист скажет что для определения радиопередатчика с точностью до 1 метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)Достаточно с 2-х сот принять сигнал от телефона.(если известет его ID) и все. И вас засекут с точностью до пары метров. Этоне фантастика это жизня....
К тому же сейчас есть ГЛОНАС и GPS. Достаточно посмотреть на их возможности....Так что как говориться была бы нужда добраться... доберуться....работа у них такая. :-)
>Вам любой связист скажет что для определения радиопередатчика с точностью до 1
>метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)Извините, но это будет очень херовый связист.
>Извините, но это будет очень херовый связист.И к тому же не понимающий что в GSM используется совместное использование частоты и деление сигнала по времени.То есть если цель замочить все что излучало вообще - она может и достижима, если палить со всей дури из всего и вся по целому району.А вот прицельно накрыть конкретный мобильник в городе по его излучению когда это массив жилых домов?Ну, попробуйте, а потом расскажете как оно.
P.S. связисты и с одним приемником с направленой антенной накрывают передатчики (перемещаясь в пространстве, что и позволяет это сделать с нужной точностью) - "охота на лис" это у них называется.Но вот только там условия очень упрощены - более-менее понятно что надо найти, передатчик - один, конкретный и все-таки скорее в чистом поле нежели среди сотен аналогичных, к тому же порой нагло вещающих на той же частоте.К тому же мобильник сам по себе излучает крайне редко.Раз в несколько часов, когда перерегистрируется в сети подтверждая что он еще тут.Разумеется будучи Большим Братом можно и "попинговать" его с БСок, но в этом случае логичнее просто выгрести логи - после этого можно приходить уже по вполне конкретному адресу а не разносить к чертям целый район из-за 1 засранца :)
>[оверквотинг удален]
>"охота на лис" это у них называется.Но вот только там условия
>очень упрощены - более-менее понятно что надо найти, передатчик - один,
>конкретный и все-таки скорее в чистом поле нежели среди сотен аналогичных,
>к тому же порой нагло вещающих на той же частоте.К тому
>же мобильник сам по себе излучает крайне редко.Раз в несколько часов,
>когда перерегистрируется в сети подтверждая что он еще тут.Разумеется будучи Большим
>Братом можно и "попинговать" его с БСок, но в этом случае
>логичнее просто выгрести логи - после этого можно приходить уже по
>вполне конкретному адресу а не разносить к чертям целый район из-за
>1 засранца :)Да согласен с илученем мобильника я загнул....
>когда перерегистрируется в сети подтверждая что он еще тут.Разумеется будучи Большим
>Братом можно и "попинговать" его с БСок, но в этом случае
>логичнее просто выгрести логи - после этого можно приходить уже по
>вполне конкретному адресу а не разносить к чертям целый район из-за
>1 засранца :)Украина, 2008 год, СБУ не самого большого областного центра ищет кардера. Вызываю человека, показывают записанный на бумажке номер GSM-телефона и спрашивают "вам звонили с него, не подскажете чей?". Называют приблизительное место "выхода в эфир".
Обсуждать действия чекиста, избранную им тактику (в сущности получилось лучше, чем если бы он по региональному тв обьяву пустил "чувак с номером ХХХ, падай на дно, мы тя ищем, усбу в области") не время и не место, но замечу, что тот кого вызвали, номер мог и вспомнить, особенно если бы применили электрический термовспоминатель. И адресок, куда за засранцем приходить, мог назвать:)
И всё, и мерить-пинговать ничё не надо.
смею заметить, что человек и его абоненты ради которого собрались применять ракету с наведением по мобиле СБУ в силах послать открытым текстом... пример так себе...
похоже, что скоро нужно будет научиться добывать либо из другой трубы, либо из друго места...поскольку добывать деньги, научиться им на порядок сложнее.
>>Вам любой связист скажет что для определения радиопередатчика с точностью до 1
>>метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)
>
>Извините, но это будет очень херовый связист.Извините, но работая в GSM, на практике могу утверждать, что местоположение движущегося абонента можно определить с точностью до 20-30 метров, неподвижного абонента, уже с точностью 100-200м, но уж никак не 500 :)
>>>Вам любой связист скажет что для определения радиопередатчика с точностью до 1
>>>метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)
>>
>>Извините, но это будет очень херовый связист.
>
>Извините, но работая в GSM, на практике могу утверждать, что местоположение движущегося
>абонента можно определить с точностью до 20-30 метров, неподвижного абонента, уже
>с точностью 100-200м, но уж никак не 500 :)С цифрами ничего не напутал ?
Можно все-таки для неподвижного точность выше ?
Сотовая связь во многих случаях даёт пересечение из 3х точек, поэтому точносто до 10-20 метров гарантирована, и эта услуга уже некоторыми операторами предоставляется.
некоторые операторы предоставляют данные по одной БС где зарегистрирован телефон, и погрешность этой услуги порой километры
>с точностью 100-200м, но уж никак не 500 :)500 - это IMHO наихучший случай: 1 сота в зоне видимости.При этом по Timing Advance можно узнать расстояние до соты.Так можно узнать где абонент с точностью до 120-градусного (надеюсь не наврал?) сектора кольца.Разность радиусов кольца - порядка 500 метров (изменение TA на единицу на примерно каждые 500 метров удаления от соты).Если видно более 1 соты - будет как я понимаю пересечение таких секторов.В точность 100 метров охотно верю, правда у меня есть подлый вопрос: 100 метров - а это по какой из координат?Ну, допустим как в GPS - две горизонтальные и высота.В городе не пофигу все три, в силу густо натыканых многоэтажек.100 метров - это по которой из них?
сектор не обязательно 120 градусов, они пересекаются
для определения оператором использование ТА более чем глупо
>для определения оператором использование ТА более чем глупоА как по вашему мнению тогда умно и как это технически реализовано?При условии что мобильник специально не подыгрывает (а откуда на нем для этого софт?).
ТА дает точность ~500м, TA доступно только во время разговора (хотя есть большая уверенность что и во время GPRS сессии), ТА доступно для БС в которой зарегистрирован мобильник (правда ничто не мешает оператору принудить сменить БС)и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со сторонами в 500м
но ничего не мешает оператору поставить доп оборудование, синхронизировать время на БС, и пинговать мобильник с нескольких БС для определения расстояния с точностью превосходящей 500м
>ТА дает точность ~500м,... а по ID соты как бы еще и сектор известен.То есть, известен довольно небольшой пятачок - ~треть кольца толщиной в 500 метров.Это конечно не как в GPS но и не так уж плохо.Данный клочок территории при нужде реально прочесать граблями.А уж если мобила несколько сот поюзает - и вовсе замечательно - пересечение таких колец, там уже и про 100 метров будет.
>TA доступно только во время разговора (хотя есть большая уверенность что и во
>время GPRS сессии), ТА доступно для БС в которой зарегистрирован мобильник
>(правда ничто не мешает оператору принудить сменить БС)Для начала, TA в принципе доступен при любом обмене данными соты с мобильником.Это довольно базовый элемент протокола, нужный из-за деления использования эфира по времени (aka TDMA).Грубо говоря, физический смысл TA - скорость распостранения электромагнитных волн (скорость света) не бесконечна.TA - это поправка на расстояние. Без использования TA пакеты просто не будут попадать в свои таймслоты из-за задержки вызванной расстоянием и не бесконечной скоростью радиоволн.Единственная особенность которую я знаю: дальнобойные соты (вдоль дорог, морских побережий и т.п.) могут пожертвовать половину слотов допустив попаадение в них данных от соседнего таймслота.При этом емкость соты разумеется падает вдвое (4 таймслота вместо 8, но зато можно вылезти за те 30 км от соты которые может скомпенсировать TA по стандарту GSM).
>и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со
>сторонами в 500мПересечение 1/3 колец 500-метровой толщины.Что за фигура получится зависит от числа сот.
>но ничего не мешает оператору поставить доп оборудование, синхронизировать время на БС,
Просто вон то - гарантировано, по стандарту.Возможно можно и лучше.Но насколько - вопрос.Точные измерения времен - натуральный головняк.Достаточно почитать про принцип работы GPS (там точные замеры времени очень важны) чтобы понять масштаб этого головняка.
>и пинговать мобильник с нескольких БСИменно.Сеть может инициировать активность мобильника.Или например просто указать небольшой интервал перерегистрации - тогда мобильник сам будет попинговывать :) правда батарейку это сожрет быстрее чем обычно...
>для определения расстояния с точностью превосходящей 500м
Возможно что определение координат опсосами и меряет время точнее чем надо для TA.Хотя буду честен, точных методов определения координат мобил которые в ходу у операторов я не знаю и руководствовался сугубо знаниями из документов ETSI.
>... а по ID соты как бы еще и сектор известен.То есть,
>известен довольно небольшой пятачок - ~треть кольца толщиной в 500 метров.Это
>конечно не как в GPS но и не так уж плохо.ДанныйCellID как показал опыт пустое... телефон как правило видит несколько секторов (порой все) одной БС и свободно прыгает между ними...
>клочок территории при нужде реально прочесать граблями.А уж если мобила несколько
>сот поюзает - и вовсе замечательно - пересечение таких колец, там
>уже и про 100 метров будет.если уж чесать граблями то можно и 500м прочесать и 1км ;)
>Для начала, TA в принципе доступен при любом обмене данными соты с
>мобильником.Это довольно базовый элемент протокола, нужный из-за деления использования эфира по
>времени (aka TDMA).Грубо говоря, физический смысл TA - скорость распостранения электромагнитныхэто все понятно, я просто опять применительно к софту со стороны мобильника )
>
>>и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со
>>сторонами в 500м
>
>Пересечение 1/3 колец 500-метровой толщины.Что за фигура получится зависит от числа сот.
>
>
>Просто вон то - гарантировано, по стандарту.Возможно можно и лучше.Но насколько -ну когда то в стандарте и гпрс небыло, растут запросы у человечества...
>вопрос.Точные измерения времен - натуральный головняк.Достаточно почитать про принцип работы GPS
>(там точные замеры времени очень важны) чтобы понять масштаб этого головняка.я в курсе
>Именно.Сеть может инициировать активность мобильника.Или например просто указать небольшой интервал перерегистрации -
>тогда мобильник сам будет попинговывать :) правда батарейку это сожрет быстрее
>чем обычно...можно и так, но для этого придется на всех БС синхронизировать время с той же точностью что и мерять, это не меньший головняк...
>Возможно что определение координат опсосами и меряет время точнее чем надо для
>TA.Хотя буду честен, точных методов определения координат мобил которые в ходу
>у операторов я не знаю и руководствовался сугубо знаниями из документов
>ETSI.етси не предпологало определение местоположения...
бугага.
Сказано чудесно.
Били по гвадратам и всему, что в них находилось - домам, садам, людям, ну и мобильникам, в том числе :)Вы на митингах выступаете?
>>>При такой большой рабочей частоте...
>
>Расскажите эту лабуду жителям Цхинвала....
>А грызуны там как раз били по мобильникам в том числе....атас, вот это мозги замылены
А всех слушать и не надо, достаточно логировать на определденные слова, и в случаи надобности поднимать конкретные архивы конкретного человека. Такое ощущение что многие забыли про "Эшелон".
>>Выход один - создание закрытых внутренних
>
>Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по
>твоему мобильнику и даже через него могут на тебя ракету навести
>в форточку.Мобильный телефон легко выключить или же оставить дома, а самому уйти совершать терр.акт.
>ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным
>контролем спец-служб,Эээ а что, СОРМ разве уже отменили?Да и межконтинентальных каналов не так много и их в принципе контролировать могут.Даже если это в каком-то случае и не так, если вас волнует чтобы ваши секреты оставались при вас, всегда надо действовать так как будто промежуточные узлы могут быть взяты под контроль недоброжелателем.Потому что обратное вам никто не гарантирует как бы.
>закрытых внутренних зашифрованных сетей типа VPN
Ну да.Ерунда вопрос, если все делать грамотно, понимая как работает криптография и какие сильные и слабые места есть.
>и кроме этого использовать асинхронное
Да... при таком знании криптографии большому брату думаю не составит проблем утянуть ваши секреты так что вы и не заметите ничего :)
>>с полным выходом на источникФи, как старо... Даже банальный СОРМ раз-два-три(?) позволяет не только "подслушать" (не говоря, что хранить 10 лет опсосы должны минимум весь трафик по закону), но "на лету подменить" (или подавить - по поставленной адаче) исходящее (или входящее) сообщение. Так что, добро пожаловать в реальность...
>>>с полным выходом на источник
>
>Фи, как старо... Даже банальный СОРМ раз-два-три(?) позволяет не только "подслушать" (не
>говоря, что хранить 10 лет опсосы должны минимум весь трафик по
>закону), но "на лету подменить" (или подавить - по поставленной адаче)
>исходящее (или входящее) сообщение. Так что, добро пожаловать в реальность...
>Поучи хотя бы общедоступную матчасть для начала, а?
Срок хранения ИНФОРМАЦИИ по трафику (а не самого трафика) составляет три года.
http://www.mfisoft.ru/operators/sorm/yanvar.htmlПодменять на лету - на 99% уверен, что нет, не может. По той простой причине, что трафик зеркалируется на СОРМовскую аппаратуру, а не гонится через неё.
Так что давай, проходи со своим идиотизмом подальше.
>Подменять на лету - на 99% уверен, что нет, не может. По
>той простой причине, что трафик зеркалируется на СОРМовскую аппаратуру, а не
>гонится через неё.А, вот и нашёл прямое указание на это: http://www.sormovich.ru/security
[quote]
Способ подключения системы к оборудованию сети передачи данных исключает передачу любой информации из системы. Система работает только на прием.
[/quote]Сказочник, ау, ты где?
>по законуПо закону много кто и чего должен, а вот что там по факту имеется - тот еще вопрос... =)
>>по закону
>
>По закону много кто и чего должен, а вот что там по
>факту имеется - тот еще вопрос... =)Гы, ну уж явно не на 10 лет, закону меньше лет =)
А не, что Crypto SYN cookies уже работоспособны?
Ну его нафиг такие новости.
Это по страусиному принципу - от проблем голову в песок, глядишь пронесет? 8-)
>Это по страусиному принципу - от проблем голову в песок, глядишь пронесет?
>8-)Нет действия нужно предпринять, но таких новостей бы поменьше ;)
>Нет действия нужно предпринять, но таких новостей бы поменьше ;)А какие действия-то? FIDO рулит? :D
>А какие действия-то? FIDO рулит? :DBack to the future. Floppynet :)
а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя никогда их не включал и включать желание не возникало... :)
>а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>никогда их не включал и включать желание не возникало... :)Ну вот может уже пришла пора включать их? xD
>> а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>> никогда их не включал и включать желание не возникало... :)
> Ну вот может уже пришла пора включать их? xDНу вот может уже пришла пора поставить на Border Router FreeBSD или OpenBSD? И ознакомиться с параметром "synproxy state" у PF? Вместо того, чтобы пользоваться SYN Cookies, устаревшими, как минимум, лет на пять?
/me returns True
>>> а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>>> никогда их не включал и включать желание не возникало... :)
>> Ну вот может уже пришла пора включать их? xD
>
>Ну вот может уже пришла пора поставить на Border Router FreeBSD или
>OpenBSD? И ознакомиться с параметром "synproxy state" у PF? Вместо того,
>чтобы пользоваться SYN Cookies, устаревшими, как минимум, лет на пять?что то не понятно, когда данные ОС стали считать современными и приравнивать к маршрутизаторам, да и информация в новости говорит немного о другом...
Было бы интересно, узнать, как можно пропустить поток 3,2Gps через ПК ? я не говорю о сервисах и всем остальном...
Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом, линуксой без проблем.
>Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом,
>линуксой без проблем.как маршрутизатор ? 1Гб/сек ? какой pps ? каким образом пакеты коммутируются?
если не секрет какая конфигурация у данного ПК
>>Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом,
>>линуксой без проблем.
>
>как маршрутизатор ? 1Гб/сек ?Да, как маршрутизатор - шлюзуются порядка 20 тысяч клиентов, почти все из них NATятся.
>какой pps ?Не помню, вечером посмотрю. =)
conntrack показывает порядка 800 тысяч сессий.>каким образом пакеты коммутируются?
Э-э-э...? В смысле?
>
>если не секрет какая конфигурация у данного ПК2 четырёхядерных ксеона, онбордная интеловская сетевушка. Если нужно подробнее, то тоже только вечером.
Кстати, из 8 ядер свободными остаются 6 - два ядра "затыкаются" по прерываниям.
если я правильно Вас понял, у вас работает nat на основе iptables (Linux) ?
прерывания сетевых карт както привязанны к процессорам?
>если я правильно Вас понял, у вас работает nat на основе iptables
>(Linux) ?Да. ipset + iptables
>прерывания сетевых карт както привязанны к процессорам?Пробовали, но суть остаётся такой же. Прерывания от одной сетевухи на два и более ядра не параллелятся, насколько я понимаю.
если не секрет расскажие, что за дисрибутив у Вас, версия ядра ? если ли какие-то патчи для ядра ? настройки sysctl ?
>если не секрет какая конфигурация у данного ПКМне почему-то кажется что если WL500GP с его 264MHz MIPS-процессором способен в принципе при роутинге выжать практически 100 мбитов (как минимум на больших пакетах) то гигабит (как минимум на больших пакетах) любой уважающий себя современный писюк у которого намного более мощный CPU вытянуть обязан.Иначе это просто кусок хлама какой-то.
>>если не секрет какая конфигурация у данного ПК
>
>Мне почему-то кажется что если WL500GP с его 264MHz MIPS-процессором способен в
>принципе при роутинге выжать практически 100 мбитов (как минимум на больших
>пакетах) то гигабит (как минимум на больших пакетах) любой уважающий себя
>современный писюк у которого намного более мощный CPU вытянуть обязан.Иначе это
>просто кусок хлама какой-то.не совем, PC не использует никаких методов коммутации, кроме как процессором - пакет->прерывание...
> пакет->прерывание...То что у х86 с прерываниями плохо конечно все знают, но обычно гигабитные сетевухи и их драйвера по этой причине предпринимают ряд мер для снижения частоты прерываний, чтобы старикан от нагрузки не играл в ящик.Думаю что при интенсивном потоке небольших пакетов прерывание генерится отнюдь не на каждый пакет.
а когда же ?
и все таки матрицы коммутации циски и общий буфер гораздо производительнее чем перекладывание пакетов даже ксеонами...
это да, но я не совсем понимаю, каким образом тогда без прерываний ПК обеспечивает достаточно большую передачу пакетов - pps, при этом не применяю никаких методов комутации...
хотелось из любопытсва ради узнать по-больше, вот поэтому и интересуюсь у тех, кто уже эксплуатирует подобного рода решения.
>это да, но я не совсем понимаю, каким образом тогда без прерываний
>ПК обеспечивает достаточно большую передачу пакетов - pps, при этом не
>применяю никаких методов комутации...имхо сказки
>хотелось из любопытсва ради узнать по-больше, вот поэтому и интересуюсь у тех,
>кто уже эксплуатирует подобного рода решения.имхо люди из тех кто не боится выстрелить себе в ногу
особенно если представить сколько стоит конфиг из двух 4х ядерных ксеонов
да дело сечас не в цене, и к тому же он стоит копейки, 4-5к это самый дешевый сервер, который может позволить себе любой ларек.я не понял про Ваше высказывание про "имхо сказки", расскажите подробнее
>да дело сечас не в цене, и к тому же он стоит
>копейки, 4-5к это самый дешевый сервер, который может позволить себе любой
>ларек.4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены
>
>я не понял про Ваше высказывание про "имхо сказки", расскажите подробнеене верю я про коммутацию гигабита на PC...
я то же не очень верю, коммутации как таковой там вообще нет>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены
к примеру вот - http://www.stss.ru/products/T-series/TX200.html?config
самое простое и вполне доступное.
>я то же не очень верю, коммутации как таковой там вообще нет
>
>
>>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены
>
>к примеру вот - http://www.stss.ru/products/T-series/TX200.html?config
>самое простое и вполне доступное.Экие вы неверящие-то. Попробуйте сами, в чём проблема?
Вот график загрузки за неделю:
http://s2.ipicture.ru/uploads/081005/WMVlTJETwp.pngВ одном, правда, я ошибся - сейчас стоит сервер с четырьмя ядрами, а не восемью - два ксеона по два ядра:
1 [|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||100.0%] Tasks: 74 total, 2 running
2 [ 0.0%] Load average: 1.13 1.43 1.30
3 [ 0.0%] Uptime: 37 days, 22:30:21
4 [ 0.0%]
Mem[||||||||||||||||||||||||||||||||||||||||||||||||||||||||528/884MB]
Swp[ 0/0MB]PID USER PRI NI VIRT RES SHR S CPU% MEM% TIME+ Command
4 root 15 -5 0 0 0 R 100. 0.0 14h04:35 ksoftirqd/0
1 root 20 0 2424 1328 536 S 0.0 0.1 0:05.77 /sbin/init
2 root 15 -5 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT -5 0 0 0 S 0.0 0.0 0:02.45 migration/0
5 root RT -5 0 0 0 S 0.0 0.0 0:01.59 migration/1
6 root 15 -5 0 0 0 S 0.0 0.0 15h00:02 ksoftirqd/1
7 root RT -5 0 0 0 S 0.0 0.0 0:02.45 migration/2
8 root 15 -5 0 0 0 S 0.0 0.0 13h16:13 ksoftirqd/2
9 root RT -5 0 0 0 S 0.0 0.0 0:01.75 migration/3
10 root 15 -5 0 0 0 S 0.0 0.0 29h00:36 ksoftirqd/3
11 root 15 -5 0 0 0 S 0.0 0.0 1:39.50 events/0newaqua:~# iptables -L -n -v | wc -l
378
newaqua:~# ipset -L -n | wc -l
14202
newaqua:~# conntrack -L | wc -l
conntrack v0.9.7: 818017 flow entries has been shown.
818017
newaqua:~# uname -a
Linux newaqua 2.6.24.3 #3 SMP Fri Aug 29 00:25:02 MSD 2008 i686 GNU/Linux
newaqua:~# cat /etc/*rel*
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=7.10
DISTRIB_CODENAME=gutsy
DISTRIB_DESCRIPTION="Ubuntu 7.10"
newaqua:~# lspci
00:00.0 Host bridge: Intel Corporation 5000V Chipset Memory Controller Hub (rev b1)
00:02.0 PCI bridge: Intel Corporation 5000 Series Chipset PCI Express x8 Port 2-3 (rev b1)
00:03.0 PCI bridge: Intel Corporation 5000 Series Chipset PCI Express x4 Port 3 (rev b1)
00:08.0 System peripheral: Intel Corporation 5000 Series Chipset DMA Engine (rev b1)
00:10.0 Host bridge: Intel Corporation 5000 Series Chipset FSB Registers (rev b1)
00:10.1 Host bridge: Intel Corporation 5000 Series Chipset FSB Registers (rev b1)
00:10.2 Host bridge: Intel Corporation 5000 Series Chipset FSB Registers (rev b1)
00:11.0 Host bridge: Intel Corporation 5000 Series Chipset Reserved Registers (rev b1)
00:13.0 Host bridge: Intel Corporation 5000 Series Chipset Reserved Registers (rev b1)
00:15.0 Host bridge: Intel Corporation 5000 Series Chipset FBD Registers (rev b1)
00:16.0 Host bridge: Intel Corporation 5000 Series Chipset FBD Registers (rev b1)
00:1c.0 PCI bridge: Intel Corporation 631xESB/632xESB/3100 Chipset PCI Express Root Port 1 (rev 09)
00:1e.0 PCI bridge: Intel Corporation 82801 PCI Bridge (rev d9)
00:1f.0 ISA bridge: Intel Corporation 631xESB/632xESB/3100 Chipset LPC Interface Controller (rev 09)
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller (rev 09)
00:1f.2 IDE interface: Intel Corporation 631xESB/632xESB/3100 Chipset SATA IDE Controller (rev 09)
00:1f.3 SMBus: Intel Corporation 631xESB/632xESB/3100 Chipset SMBus Controller (rev 09)
01:00.0 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express Upstream Port (rev 01)
01:00.3 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express to PCI-X Bridge (rev 01)
02:00.0 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express Downstream Port E1 (rev 01)
02:02.0 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express Downstream Port E3 (rev 01)
04:00.0 Ethernet controller: Intel Corporation 80003ES2LAN Gigabit Ethernet Controller (Copper) (rev 01)
04:00.1 Ethernet controller: Intel Corporation 80003ES2LAN Gigabit Ethernet Controller (Copper) (rev 01)
08:0c.0 VGA compatible controller: ATI Technologies Inc ES1000 (rev 02)
newaqua:~#Кстати, рекомендую почитать: http://datatag.web.cern.ch/datatag/howto/tcp.html
>Кстати, рекомендую почитать: http://datatag.web.cern.ch/datatag/howto/tcp.htmlспасибо, ознакомился
>к примеру вот - http://www.stss.ru/products/T-series/TX200.html?config
>самое простое и вполне доступное.ах речь о уе...
>>да дело сечас не в цене, и к тому же он стоит
>>копейки, 4-5к это самый дешевый сервер, который может позволить себе любой
>>ларек.
>
>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены
>Вы настолько бедны, что не можете себе этого позволить, но хотите поставить вместо этого Циску?
Расскажите, кстати, чем сравнимым по цене вы пропускали бы порядка 20 тысяч пользователей в интернет через NAT, запрещая или разрешая доступ и собирая одновременно с этого устройства NetFlow-статистику по трафику?>
>>
>>я не понял про Ваше высказывание про "имхо сказки", расскажите подробнее
>
>не верю я про коммутацию гигабита на PC...Мало знаете, значит. Бывает...
Зря вы так повелись на тролля.
>Расскажите, кстати, чем сравнимым по цене вы пропускали бы порядка 20 тысяч
>пользователей в интернет через NAT, запрещая или разрешая доступ и собирая
>одновременно с этого устройства NetFlow-статистику по трафику?в такую же цену не скажу, дороже - 5540, правда к шлюзу вы получете еще не понятно нужное ли вам...
Вы тоже както злостно говорите, ведь 20, 000 пользователей легко окупают хорошый отказоустойчивый кластер из несколькой cisco asa или я не прав !? да и к тому же добавлют множество возможностей
>Вы тоже както злостно говорите, ведь 20, 000 пользователей легко окупают хорошый
>отказоустойчивый кластер из несколькой cisco asa или я не прав !?
>да и к тому же добавлют множество возможностейВы конкретные модели железяк со стоимостью приведите ;-) Напомню, что помимо обычного шлюзования, нужно снимать NetFlow с гигабита и выполнять NAT-преобразования на почти 1 млн. сессий.
>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие ценыО господи.Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых процессоров на пару GHz или быстрее?А чем они будут заниматься?В восемь ядер обслуживать прерывания от двух сетевух?Вообще-то если уж на то пошло, хорошо бы чтобы каждое ядро обслуживало свое прерывание.Чтобы кэш эффективно работал.Допустим 2 ядра на прерывания от сетевух.Хотя я честно говоря не думаю что с мало-мальски нормальными сетевухами 2 ядра напрочь озадачатся только прерываниями.А остальным 6 ядрам что делать?Все шесть должны обсчитывать роутинг и фаерволинг?Что-то мне кажется что для шести ядер нужны задачи помасштабнее в несколько раз.
>не верю я про коммутацию гигабита на PC...
Хм, вопросами веры занимаются церковники всякие.А в данном случае можно взять и померять.В конце концов, гигабит - это около 100 Мбайтов в секунду.С современного жесткого диска на такой скорости данные выгребаются и ничего, никто прерываниями не давится.Ну и с эзернета можно гигабит выгребать.А уж если сетевуха не позорная - так даже с сравнительно хилым процессором(на более-менее навернутых сетевухах чипы занимаются аппаратным оффлоадом рассчета чексумм, сборки фрагментов и прочая).
>О господи.Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых процессоров на парув том то и дело что 8 ядер совершенно излишни, при методах коммутации отличных от интерфейс - проц - рама - проц - интерфейс
>Хм, вопросами веры занимаются церковники всякие.А в данном случае можно взять и
>померять.померяйте скорость света, или размер протона ;) или вы все же верите ученым?
>>О господи.Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых процессоров на пару
>
>в том то и дело что 8 ядер совершенно излишни, при методах
>коммутации отличных от интерфейс - проц - рама - проц -
>интерфейсА никто и не утверждал, что 8 ядер НЕОБХОДИМО. Я лишь сказал, что сервер с 8 ядрами. Ну не было у нас серверов слабей, не было. =)
>А никто и не утверждал, что 8 ядер НЕОБХОДИМО. Я лишь сказал,
>что сервер с 8 ядрами. Ну не было у нас серверов
>слабей, не было. =)так и мне колво ядер до фени, сомнительность была именно в способе коммутации, а сколько там ядер неважно.
>>А никто и не утверждал, что 8 ядер НЕОБХОДИМО. Я лишь сказал,
>>что сервер с 8 ядрами. Ну не было у нас серверов
>>слабей, не было. =)
>
>так и мне колво ядер до фени, сомнительность была именно в способе
>коммутации, а сколько там ядер неважно.Сомнений, надо полагать, больше нет?
>Сомнений, надо полагать, больше нет?сомнения есть всегда ;)
но галочка о возможности такого решения проставлена ))
>>Сомнений, надо полагать, больше нет?
>
>сомнения есть всегда ;)
>но галочка о возможности такого решения проставлена ))"Просвещение - в массы!" ;-)
Забыл sysctl показать, кстати (хотя он не до конца затюнен):
dyr@newaqua:~$ cat /etc/sysctl.conf |grep -v ^# | grep -v ^$
kernel.printk = 4 4 1 7
kernel.maps_protect = 1
net.ipv4.ip_forward=1
net.ipv4.conf.all.send_redirects=0
echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
net.netfilter.nf_conntrack_max=1048576
net.ipv4.tcp_keepalive_intvl=5
net.ipv4.tcp_keepalive_time=180
net.ipv4.tcp_keepalive_probes=3
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_max_syn_backlog=4096
net.core.netdev_max_backlog=5000
net.ipv4.icmp_ratelimit=0
net.netfilter.nf_conntrack_checksum=0
net.core.rmem_default=16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_sack=0
net.ipv4.tcp_no_metrics_save = 1
net.ipv4.tcp_moderate_rcvbuf = 1
net.ipv4.tcp_congestion_control=highspeed
kernel.panic=5
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.ip_local_port_range=3000 65535
net.ipv4.neigh.default.gc_thresh1 = 512
net.ipv4.neigh.default.gc_thresh2 = 1024
net.ipv4.neigh.default.gc_thresh3 = 2048Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог %-О
>[оверквотинг удален]
>kernel.panic=5
>net.ipv4.tcp_tw_reuse=1
>net.ipv4.tcp_tw_recycle=1
>net.ipv4.ip_local_port_range=3000 65535
>net.ipv4.neigh.default.gc_thresh1 = 512
>net.ipv4.neigh.default.gc_thresh2 = 1024
>net.ipv4.neigh.default.gc_thresh3 = 2048
>
>Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог
>%-Олюбой программой, например iptraf
я так понимаю это работает "быстро" от того, что в системе несколько CPU ? кстати уровень задержки средний при средней загрузки какой ?
>>Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог
>>%-О
>
>любой программой, например iptrafО как. Я привык к FreeBSD'шной стандартной netstat и иже с ней, которые накапливают статистику за время работы. Неужто в линуксе похожего нет?
>я так понимаю это работает "быстро" от того, что в системе несколько
>CPU?"Быстро" можно и без кавычек ставить. =)
По нашим ощущениям нет, не от этого. Я загрузку выше приводил, там хорошо видно, что загружено всего одно ядро.> кстати уровень задержки средний при средней загрузки какой ?
Предвижу очередной взрыв недоверия =), но тем не менее при средней загрузке максимум 2 мс.
При максимальной загрузке 30-50 мс, но это уже физика, никуда не денешься - ну не лезет больше 1Гбита, никак =)
Сегодня jumbo frame включил, посмотрим, поможет ли.
Ниже вывод iptraf (который, к слову, сам конкретно грузит сеть) конкретно сейчас, в момент средней нагрузки:
│
│ Total rates: 922413.8 kbits/sec
│ 150682.4 packets/sec
│ Incoming rates: 445181.2 kbits/sec
│ 75814.0 packets/sec
│ Outgoing rates: 477401.4 kbits/sec
│ 74868.4 packets/sec
─────────────────────────────────────────────────────────────────────────────────────────────────┘
>[оверквотинг удален]
>kernel.panic=5
>net.ipv4.tcp_tw_reuse=1
>net.ipv4.tcp_tw_recycle=1
>net.ipv4.ip_local_port_range=3000 65535
>net.ipv4.neigh.default.gc_thresh1 = 512
>net.ipv4.neigh.default.gc_thresh2 = 1024
>net.ipv4.neigh.default.gc_thresh3 = 2048
>
>Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог
>%-ОЗа информацию спасибо, не нужно все вопрринимать агресивно, вас же никто не обидел или оскорбил.
этот "тюнинг" (к стати я не понимаю почему этим словом называют), по факту оптимизирует только TCP, но не убирает прерывания сетевых интерфейсов с CPUединственное, что немного может улучшить так это увелечение входящей очереди интерфейса, увеличение таблицы arp, я не совсем понимаю зачем оптимизировать tcp на по сути L3 устройстве, если до заголовка транспортного ровня он вовсе не доходит.
>>[оверквотинг удален]
>За информацию спасибо, не нужно все вопрринимать агресивно, вас же никто не
>обидел или оскорбил.Где ж я агрессивно воспринял? На пустое "не верю" я ответил вполне конкретными цифрами, мы с вами так и вообще вроде вполне нормально общаемся.
>этот "тюнинг" (к стати я не понимаю почему этим словом называют), по
>факту оптимизирует только TCP, но не убирает прерывания сетевых интерфейсов с
>CPUНе убирает, да.
Но вот в чём дело - сокращение передачи обработки прерываний с процессора путём увеличения очереди пакетов неизбежно ведёт к увеличению временнЫх задержек на интерфейсе, пусть и путём уменьшения загрузки на CPU. Смысла в этом я не вижу - сетевуха гигабит с текущей загрузкой проца нормально пропускает.>
>единственное, что немного может улучшить так это увелечение входящей очереди интерфейса, увеличение таблицы arp,Неактуально - до этого шлюза маршрутизируется (и шейпится) на Cisco 6504, так что у него всего две arp-записи.
>я не совсем понимаю зачем оптимизировать tcp на по сути L3 устройстве, если до заголовка транспортного ровня он вовсе не доходит.
"Смысл ваших слов от меня ускользает" =) Какую именно ненужную оптимизацию tcp транспортного уровня вы видите?
Кстати, поставил irqbalance (что-то мы про него забыли %-) при установке ), картинка htop изменилась на такую (всё та же средняя нагрузка):
1 [ 0.0%] Tasks: 75 total, 1 running
2 [||||||||||||||||||||||||||||||||| 65.8%] Load average: 0.00 0.03 0.07
3 [ 0.0%] Uptime: 38 days, 14:03:30
4 [|||||||||||||||||||||||||||||||||||| 69.7%]
Mem[|||||||||||||||||||||||||||||||||||||||||581/884MB]
Swp[ 0/0MB]PID USER PRI NI VIRT RES SHR S CPU% MEM% TIME+ Command
17976 root 20 0 2404 1192 952 R 1.4 0.1 0:00.04 htop
6 root 15 -5 0 0 0 S 0.7 0.0 15h24:55 ksoftirqd/1
1 root 20 0 2424 1328 536 S 0.0 0.1 0:05.82 /sbin/init
2 root 15 -5 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT -5 0 0 0 S 0.0 0.0 0:02.49 migration/0
4 root 15 -5 0 0 0 S 0.0 0.0 14h16:06 ksoftirqd/0
5 root RT -5 0 0 0 S 0.0 0.0 0:01.63 migration/1
7 root RT -5 0 0 0 S 0.0 0.0 0:02.48 migration/2
8 root 15 -5 0 0 0 S 0.0 0.0 13h40:51 ksoftirqd/2
9 root RT -5 0 0 0 S 0.0 0.0 0:01.78 migration/3
10 root 15 -5 0 0 0 S 0.0 0.0 29h56:10 ksoftirqd/3
11 root 15 -5 0 0 0 S 0.0 0.0 1:41.15 events/0
>[оверквотинг удален]
>0 0 S 0.0 0.0
> 0:01.78 migration/3
> 10 root 15
>-5 0 0
> 0 S 0.0 0.0 29h56:10
>ksoftirqd/3
> 11 root 15
>-5 0 0
> 0 S 0.0 0.0
>1:41.15 events/0да действительно, производительность пересылки неплохая
мне удалось в качестве эксперемнта проверить скорость загрузки файла с ftp-сервера, через тестовый PC-роутер - обычная машина с Linux на xeon 2.8GHz, встроенные 2xintel 82541GI(машина без NAT,IP forwarding так же озадаченна и загруженна нормально), но при скорости потока 360-400Мб/сек, на irq было до 25%, что собственно и есть нормально, к сожелению ftp-сервер не мог отдать быстрее, но вот в Вашем случае получается, что остальная часть агрегата - процессоры просто простаивали...
[оверквотинг удален]
>но вот в Вашем случае получается, что остальная часть агрегата -
>процессоры просто простаивали...Ну и что? =)
Лучше иметь переизбыток мощности, чем её недостаток.
К тому же 1,5 свободных ядра из 4 возможных не такой уж большой запас.
>а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>никогда их не включал и включать желание не возникало... :)я включал, наш сервер ддосили - помогало сильно.
А можно на уровне OS отрубить СИНкуки
net.ipv4.tcp_syncookies=0А на уровне iptables/pf заниматься атифлудом
И почему не сказали про Cisco? У них всё в порядке?
С каких времён pf в вашем линуксе? Если не в нём, то с каких врёмен не в линуксе net.ipv4.tcp_syncookies ?
>С каких времён pf в вашем линуксе? Если не в нём, то
>с каких врёмен не в линуксе net.ipv4.tcp_syncookies ?А iptables - че, тоже не в линуксе чтоли?
>А iptables - че, тоже не в линуксе чтоли?Да просто у некоторых видимо очередные приступы неотпущенного ручника после распития тормозной жидкости.
> И почему не сказали про Cisco? У них всё в порядке?читаем новость внимательно: ВСЕХ ИЗВЕСТНЫХ РЕАЛИЗАЦИЙ.
Кстати, раз уж о pf речь зашла.
Его вообще реально на линукс портировать (с технической точки зрения)?
Может, кто уже ведет такую работу?
нет, но его реально поставить на windows
> нет, но его реально поставить на windowsтипа пошутил?
>> нет, но его реально поставить на windows
>
>типа пошутил?Никаких шуток. Выгугливается менее чем за минуту - http://force.coresecurity.com/index.php?module=base&page=about
"...provides inbound and outbound stateful packet filtering for TCP/IP protocols using a Windows port of OpenBSD's PF firewall,..."
>> нет, но его реально поставить на windows
> типа пошутил?В Windows сетевой стек от FreeBSD.
А я то думаю, чего его глюкает всё время... Вот оно!!!
Ник твой грит сам за себя...
Если Windows и глюкает, то не из-за сетевого стека (по кр.мере, то й части, которая портирована из FreeBSD). Скорее глюки м.б. связаны с NetBIOS, который у Windows работает в режиме ядра.
>NetBIOS, который у Windows работает в режиме ядра.А стек TCP/IP по вашему где работает?!Виндовс в этом плане ничем не хуже других.Драйвер ядра tcpip.sys если что.
Откуда дровишки?Брандмауэр делал один из разработчиков ipfw, это да, а вот про сетевой стек слышу впервые.
это старая городская легенда. в реальности сетевой стрек от bsd был в windows 3.51, потом написали свой
>Его вообще реально на линукс портировать (с технической точки зрения)?Думаю что сие достаточно трудно.А смысл при наличии айпитаблеса?
народ пробовал портировать. ниасилили ядро пилить. так что пользуйте iptables ;)
>В идеальном случае (пингование сразу несколькими БСками с разных точек) - >будет пересечение секторов 500-метрового кольца.Все-равно довольно большой >пятачок территории.Если это пространство застроено обычными городскими >многоэтажками - задолбаться можно там искать.Если это чисто поле - ну да, влип >клиент, можно и просто пробомбить нужную территорию :)Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте для операторов сотовой связи и с сотовыми сетями знаком не понаслышке, так вот он мне сказал, что в городе определить место нахождения абонента можно с точностью от 5 до 30м. Другое дело если вы находитесь загородом так там как раз те самые 500 метров.
>Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте
>для операторов сотовой связи и с сотовыми сетями знаком не понаслышке,
>так вот он мне сказал, что в городе определить место нахождения
>абонента можно с точностью от 5 до 30м. Другое дело если
>вы находитесь загородом так там как раз те самые 500 метров.Теоретически может и можно, а практически, например, у меня в районе - Москва, Вешняки - одна базовая станция, судя по всему, и то не всегда доступна из-за плотной застройки.
Кроме того, лет пять назад у Мегафона была какая-то игра с определением позиции на сотовых - там как раз 500 метров на окраинах и получалось.
>[оверквотинг удален]
>>так вот он мне сказал, что в городе определить место нахождения
>>абонента можно с точностью от 5 до 30м. Другое дело если
>>вы находитесь загородом так там как раз те самые 500 метров.
>
>Теоретически может и можно, а практически, например, у меня в районе -
>Москва, Вешняки - одна базовая станция, судя по всему, и то
>не всегда доступна из-за плотной застройки.
>Кроме того, лет пять назад у Мегафона была какая-то игра с определением
>позиции на сотовых - там как раз 500 метров на окраинах
>и получалось.Господа, не нужно высказывать мнения от точности определения объекта по радиосигналу, если знакомы только со школьным курсом физики... это просто глупо... для определения места используется всего ОДНА антенна, 2-3 использовали разве что 40х. Если есть сигнал, его источник можно определить ОЧЕНЬ точно просто по самому сигналу, далее дело упирается в вычислительные мощности и алгоритмы. мало того, можно определять движиться-ли источник и в каком направлении и т.д. и т.п.
Вот там он смешивается - размешивается, цифровой - аналоговый, отражения - искажения... всё это фигня... Чтоб поймать источник, время приёма измеряется мили или даже микро секундами, дальше дело техники...
И кто вам сказал что, ББ для этого будет использовать сами вышки сотовой связи?.. глупость какая...P.S. Вот если изобретать велосипед, и использовать вышки сотовой, тогда да, я даже и не берусь предположить точность.
Короче говоря, "у нас есть такииие приборы!!!, но мы вам о них не расскажем!"
Гггг, +100 =)
http://ru.wikipedia.org/wiki/Радиопеленгация
> Господа, не нужно высказывать мнения от точности определения объекта по радиосигналу,
>если знакомы только со школьным курсом физики... это просто глупо... для
>определения места используется всего ОДНА антенна, 2-3 использовали разве что 40х.
>Если есть сигнал, его источник можно определить ОЧЕНЬ точно просто по
>самому сигналу, далее дело упирается в вычислительные мощности и алгоритмы. мало
>того, можно определять движиться-ли источник и в каком направлении и т.д.
>и т.п.срочно патентуйте - озолотитесь :)
при помощи одной антенны точно определить местоположение источника сигнала можно в двух случаях:
1. пеленгатор находится в движении и постоянно определяет направление на источник сигнала. в этом случае засечь можно довольно быстро и довольно точно.
2. при неподвижном пеленгаторе - если известна мощность передатчика, отсутствуют переотражения сигнала (хотя с этим можно бороться), точно известен коэффициент ослабления сигнала средой и источник сигнала достаточно коротковолновый
никаких особых вычислительных можностей для этого не нужно, но, как было правильно земечено выше, вопрос осложняется тем, что GSM - это TDMA и одна и та же частота используется разными устройствами одновременно. т.е. пеленговать надо не столько саму частоту, сколько цифровой сигнал. а с этим уже свои сложности - нужно либо уметь все делать быстро с одной вращающейся антенной, как у радаров, либо иметь кучу разнонаправленных антенн... в общем, пеленгация GSM терминала та еще задачка. а ведь можно усложнить задачу, выходя на связь с левой симкой и разговаривая через SIP/Skype over GPRS/EDGE/UMTS/etc :)
вы собрались пеленговать зашифрованный траффик? тогда вам не важно что в нем летит...определить местоположение может оператор, при соответсвующем оборудовании точность до десятков метров. метод не имеет ничего общего с пеленгацией. и оператору не имеет значения говорите вы по телефону или шлете данные...
зы народ изучите гугл там есть подробное описание методов...
речь шла о операторонезависимой пеленгации. прежде чем советовать читать гугл, научитесь читать сами то, на что отвечаете.
>речь шла о операторонезависимой пеленгации1невозможно
2где сказано?
>или даже микро секундами, дальше дело техники...Угу, вот только стандартные БС этого не умеют.Даже в GPS специально заточенном на определение координат, время - это ОГРОМНАЯ проблема.
Микросекунды, говорите?Скорость света вспомните, тогда микросекунды уже не покажутся ерундой.
>Угу, вот только стандартные БС этого не умеют.Даже в GPS специально заточенномстандартные умеют но точность та самая ~500 метров
>на определение координат, время - это ОГРОМНАЯ проблема.
вот время проблема но доп оборудование на БС решают ее, и есть методы меньше зависящие от времени
Народ блин, тут все очень сильно зависит от эффективного диаметра соты чем он больше тем погрешность определения будет больше и наоборот
>Народ блин, тут все очень сильно зависит от эффективного диаметра соты чем
>он больше тем погрешность определения будет больше и наоборотне зависит от размера соты совершенно, зависит от колва БС в окрестности...
ты думаеш что оно никак не связано? :)
я не думаю, я знаю...
еще я знаю что размер от диапазона зависит...
>я не думаю, я знаю...
>еще я знаю что размер от диапазона зависит...Как я понимаю система от BoBa работает на других принципах - там сам мобильник определяет свои координаты по тому какие БС вокруг.Для этого ему надо сделать ряд нестандарных действий а посему это могут делать только Siemens с ELF-патчем, для которых у BoBa и лежат ELF-ы.
А тут разговор об удаленном определении координат мобилы по излучению.Малость другое.
>Как я понимаю система от BoBa работает на других принципах - там
>сам мобильник определяет свои координаты по тому какие БС вокруг.совершенно верно
>Для этого
>ему надо сделать ряд нестандарных действий а посему это могут делать
>только Siemens с ELF-патчем, для которых у BoBa и лежат ELF-ы.не совсем так, работает например на СЕ (MID2P), точность только страдает.
>А тут разговор об удаленном определении координат мобилы по излучению.Малость другое.
ничто не мешает оператору использовать такойже метод, только со своей стороны, только для оператора есть методы гораздо точнее и проще
>Народ блин, тут все очень сильно зависит от эффективного диаметра сотыЭтот человек никогда не слышал про Timing Advance. RTFM доки с ETSI.ORG а потом будете рассказывать ваши сказки дальше...
>Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте
>для операторов сотовой связи и с сотовыми сетями знаком не понаслышке,
>так вот он мне сказал, что в городе определить место нахождения
>абонента можно с точностью от 5 до 30м.Респект деду!
Мужики, вы что инженерное меню на мобильнике не включали что ли?
>в один прекрасный момент все TCP соединения переставали нормально завершаться и оставались в состоянии TIME_WAIT, пока не достигался лимит на число сокетовДа, бывало такое...
iGPS+ система достигающая точности определения местоположения мобильника до здания: http://igps.boba.su
Бред в новости насчет SYN cookies.
В оригинальном подкасте Роберт только аналогию приводил. Они тут вообще не причем. И их отключение никак не поможет защититься от атаки.
Хоть бы разобрались в проблеме, прежде чем писать.
На insecure.org отличная статья на эту тему. Opennet все больше превращается в желтую прессу.
