The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Исследователи нашли фундаментальную уязвимость во ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Исследователи нашли фундаментальную уязвимость во ..."  
Сообщение от opennews (??) on 02-Окт-08, 16:27 
Шведские специалисты по компьютерной безопасности Роберт Ли (Robert E. Lee) и Джек Льюис (Jack C. Louis), исследуя особенности работы TCP/IP стека, обнаружили (http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_i...) фундаментальную проблему безопасности, дающую возможность вызова отказа в обслуживании всех известных реализаций TCP/IP стека, не требуя при этом отправки гигантских объемов пакетов. Детали связанные с техникой проведения атаки будут представлены на конференции T2, которая пройдет в этом месяце в городе Хельсинки.


Для совершения атаки не обязательно прибегать к услугам многотысячных зомби сетей, метод Роберт Ли и Джек Льюис позволяет нарушить работоспособность любой системы, используя один компьютер, подключенный к сети по типичному каналу связи. Несмотря на то, что производители межсетевых экранов и операционных систем уже давно получили уведомление о данной уязвимости, придумать вариант исправления или обходной путь решения проблемы так и не удалось.


URL: http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_i...
Новость: http://www.opennet.me/opennews/art.shtml?num=18228

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 16:27 
Инету в его нынешнем виде, скорее всего - rip xD
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от baloo on 02-Окт-08, 16:52 
>Инету в его нынешнем виде, скорее всего - rip xD

ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным контролем спец-служб, с полным выходом на источник. Выход один - создание закрытых внутренних зашифрованных сетей типа VPN и кроме этого использовать асинхронное шифрование в почте, мессенджерах, и в VoIP. Но так чтобы не возможно было реалиловать MITM атаку.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от ilia kuliev (??) on 02-Окт-08, 17:23 
>>Инету в его нынешнем виде, скорее всего - rip xD
>
>ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным
>контролем спец-служб, с полным выходом на источник. Выход один - создание
>закрытых внутренних зашифрованных сетей типа VPN и кроме этого использовать асинхронное
>шифрование в почте, мессенджерах, и в VoIP. Но так чтобы не
>возможно было реалиловать MITM атаку.

асинхронное? может, всё-таки, асимметричное? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от baloo on 02-Окт-08, 18:14 
мдя, ну конечно, оговорился, что называется )))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

87. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Щекн Итрч on 03-Окт-08, 23:16 
А я вот покамест читаю эту страницу.
И сервера мои все доступны.
Фундаментальная уязвимость - фундаментальное же и исправление.
Попердим, когда хотя бы полсотни сервисов окажутся обваленными этой уязвимостью... Ага?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 17:24 
>Выход один - создание закрытых внутренних

Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по твоему мобильнику и даже через него могут на тебя ракету навести в форточку.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Роман (??) on 02-Окт-08, 17:58 
>>Выход один - создание закрытых внутренних
>
>Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по
>твоему мобильнику и даже через него могут на тебя ракету навести
>в форточку.

А зачем вообще нужен мобильный телефон?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

99. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 04-Окт-08, 17:29 
>А зачем вообще нужен мобильный телефон?

Ну, мало ли, вот случится с вами какая-то дрянь за несколько км от проводного телефона - так и подохнете, потому что скорую вызвать или сообщить о проблемах - не сможете.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 02-Окт-08, 18:07 
>Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют"

Тотально не получится - ушей не хватит слушать. До некоторой степени могут. А вы если понимаете как это работает можете до некоторой степени усложнить задачу, подняв планку. Правда если вы Бин Ладен это может и не помочь, а в случае average joe...

P.S. а наводить по мобильнику ракеты - это да... типа, палить ракетами в белый свет как в копеечку?Ну, если вы живете в тайге и там 1 домик на 5 кв. км - да, без проблем.А вот в городе при точности определения места мобилы 500 метров придется разбомбить нахрен целый район.А не много ли чести для одного дятла?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Fantomas email(??) on 02-Окт-08, 19:44 
При такой большой рабочей частоте мобильника точность определения значительно меньше 500м и соответственно ракета попадет точно в цель, как и группа спецназа.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 02-Окт-08, 20:35 
>При такой большой рабочей частоте

Частота частотой а сама по себе частота никаких координат не передает.И это вам не просто передатчик вещающий постоянно и монопольно на одной частоте.

Т.е. в вакууме, в открытом космосе, если забыть об всяких там отражениях сигнала, делении этой частоты с другими мобильниками (фразы TDMA что-то говорит?) и прочая - ну да, вы правы, сферический мобильник в вакууме действительно подбить можно попытаться, с неизвестным успехом.А в городе где в радиусе несколько сотен метров несколько сотен мобил из которых и другие не забудут поюзать ту же частоту (ибо TDMA) - придется ограничиться сотнями метров (длина таймслота TDMA).В идеальном случае (пингование сразу несколькими БСками с разных точек) - будет пересечение секторов 500-метрового кольца.Все-равно довольно большой пятачок территории.Если это пространство застроено обычными городскими многоэтажками - задолбаться можно там искать.Если это чисто поле - ну да, влип клиент, можно и просто пробомбить нужную территорию :)

> мобильника точность определения значительно меньше 500м и

Ну, пересечение секторов в 500 метров.Сильно полегчало?

>соответственно ракета попадет точно в цель, как и группа спецназа.

Таким методом они будут неделю прочесывать нужный район.Многовато чести для заурядной персоналии - чтобы вам уделили столько внимания, придется стать каким-то выдающимся злодеем как минимум.На самом деле все проще.Если вы звонили кому-то знакомому с этой мобилы - так черт побери есть логи.Ну, посмотреть кому вы звонили, они то вас и сдадут где вы там живете и прочая с точностью до почтового адреса - вот тут уже промах (как минимум спецназа) исключается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от rakshas (??) on 02-Окт-08, 21:53 
>>При такой большой рабочей частоте...

Расскажите эту лабуду жителям Цхинвала....
А грызуны там как раз били по мобильникам в том числе....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User (??) on 02-Окт-08, 22:32 
>Расскажите эту лабуду жителям Цхинвала....
>А грызуны там как раз били по мобильникам в том числе....

Они били по любому радиосигналу в очень широком диапазоне, который снимался специальной сетью. Кроме того, они били по площадям и все равно не очень точно.

Т.е. заметили какой-то источник скажем, в 900Mhz, вычислили примерное место по затуханию сигнала до нескольких своих РЭБ-станций - и на всякий случай долбанули по площадям в ожидаемом месте.

В общем, это так - больше страшилка, чем реальное наведение на мобильник, тем более, какой-то конкретный. Вот с Дудаевым - да, была такая история. Но там очень и очень непросто было все реализовано и подход был исключительно индивидуальный. Тем более, там, по условию задачи, в чистом поле был один единственный _спутниковый_ телефон.

Тут все намного сложнее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от rakshas (??) on 02-Окт-08, 22:56 
Вам любой связист скажет что для определения радиопередатчика с точностью до 1 метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)

Достаточно с 2-х сот принять сигнал от телефона.(если известет его ID) и все. И вас засекут с точностью до пары метров. Этоне фантастика это жизня....
К тому же сейчас есть ГЛОНАС и GPS. Достаточно посмотреть на их возможности....

Так что как говориться была бы нужда добраться... доберуться....работа у них такая. :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User (??) on 02-Окт-08, 23:55 
>Вам любой связист скажет что для определения радиопередатчика с точностью до 1
>метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)

Извините, но это будет очень херовый связист.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 03-Окт-08, 00:29 
>Извините, но это будет очень херовый связист.

И к тому же не понимающий что в GSM используется совместное использование частоты и деление сигнала по времени.То есть если цель замочить все что излучало вообще - она может и достижима, если палить со всей дури из всего и вся по целому району.А вот прицельно накрыть конкретный мобильник в городе по его излучению когда это массив жилых домов?Ну, попробуйте, а потом расскажете как оно.

P.S. связисты и с одним приемником с направленой антенной накрывают передатчики (перемещаясь в пространстве, что и позволяет это сделать с нужной точностью) - "охота на лис" это у них называется.Но вот только там условия очень упрощены - более-менее понятно что надо найти, передатчик - один, конкретный и все-таки скорее в чистом поле нежели среди сотен аналогичных, к тому же порой нагло вещающих на той же частоте.К тому же мобильник сам по себе излучает крайне редко.Раз в несколько часов, когда перерегистрируется в сети подтверждая что он еще тут.Разумеется будучи Большим Братом можно и "попинговать" его с БСок, но в этом случае логичнее просто выгрести логи - после этого можно приходить уже по вполне конкретному адресу а не разносить к чертям целый район из-за 1 засранца :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от rakshas (??) on 03-Окт-08, 01:03 
>[оверквотинг удален]
>"охота на лис" это у них называется.Но вот только там условия
>очень упрощены - более-менее понятно что надо найти, передатчик - один,
>конкретный и все-таки скорее в чистом поле нежели среди сотен аналогичных,
>к тому же порой нагло вещающих на той же частоте.К тому
>же мобильник сам по себе излучает крайне редко.Раз в несколько часов,
>когда перерегистрируется в сети подтверждая что он еще тут.Разумеется будучи Большим
>Братом можно и "попинговать" его с БСок, но в этом случае
>логичнее просто выгрести логи - после этого можно приходить уже по
>вполне конкретному адресу а не разносить к чертям целый район из-за
>1 засранца :)

Да согласен с илученем мобильника я загнул....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от anesth (ok) on 03-Окт-08, 11:59 
>когда перерегистрируется в сети подтверждая что он еще тут.Разумеется будучи Большим
>Братом можно и "попинговать" его с БСок, но в этом случае
>логичнее просто выгрести логи - после этого можно приходить уже по
>вполне конкретному адресу а не разносить к чертям целый район из-за
>1 засранца :)

Украина, 2008 год, СБУ не самого большого областного центра ищет кардера. Вызываю человека, показывают записанный на бумажке номер GSM-телефона и спрашивают "вам звонили с него, не подскажете чей?". Называют приблизительное место "выхода в эфир".
Обсуждать действия чекиста, избранную им тактику (в сущности получилось лучше, чем если бы он по региональному тв обьяву пустил "чувак с номером ХХХ, падай на дно, мы тя ищем, усбу в области") не время и не место, но замечу, что тот кого вызвали, номер мог и вспомнить, особенно если бы применили электрический термовспоминатель. И адресок, куда за засранцем приходить, мог назвать:)
И всё, и мерить-пинговать ничё не надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 03-Окт-08, 12:05 
смею заметить, что человек и его абоненты ради которого собрались применять ракету с наведением по мобиле СБУ в силах послать открытым текстом... пример так себе...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

113. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 05-Окт-08, 18:33 
похоже, что скоро нужно будет научиться добывать либо из другой трубы, либо из друго места...поскольку добывать деньги,  научиться им на порядок сложнее.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Rain (??) on 03-Окт-08, 09:35 
>>Вам любой связист скажет что для определения радиопередатчика с точностью до 1
>>метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)
>
>Извините, но это будет очень херовый связист.

Извините, но работая в GSM, на практике могу утверждать, что местоположение движущегося абонента можно определить с точностью до 20-30 метров, неподвижного абонента, уже с точностью 100-200м, но уж никак не 500 :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Осторожный on 03-Окт-08, 12:14 
>>>Вам любой связист скажет что для определения радиопередатчика с точностью до 1
>>>метра достаточно 2 точек приема. (Для позиционирования в пространстве 3-х.)
>>
>>Извините, но это будет очень херовый связист.
>
>Извините, но работая в GSM, на практике могу утверждать, что местоположение движущегося
>абонента можно определить с точностью до 20-30 метров, неподвижного абонента, уже
>с точностью 100-200м, но уж никак не 500 :)

С цифрами ничего не напутал ?
Можно все-таки для неподвижного точность выше ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Chizh (??) on 03-Окт-08, 19:21 
Сотовая связь во многих случаях даёт пересечение из 3х точек, поэтому точносто до 10-20 метров гарантирована, и эта услуга уже некоторыми операторами предоставляется.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

105. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 17:15 
некоторые операторы предоставляют данные по одной БС где зарегистрирован телефон, и погрешность этой услуги порой километры
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 03-Окт-08, 22:31 
>с точностью 100-200м, но уж никак не 500 :)

500 - это IMHO наихучший случай: 1 сота в зоне видимости.При этом по Timing Advance можно узнать расстояние до соты.Так можно узнать где абонент с точностью до 120-градусного (надеюсь не наврал?) сектора кольца.Разность радиусов кольца - порядка 500 метров (изменение TA на единицу на примерно каждые 500 метров удаления от соты).Если видно более 1 соты - будет как я понимаю пересечение таких секторов.В точность 100 метров охотно верю, правда у меня есть подлый вопрос: 100 метров - а это по какой из координат?Ну, допустим как в GPS - две горизонтальные и высота.В городе не пофигу все три, в силу густо натыканых многоэтажек.100 метров - это по которой из них?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

106. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 17:18 
сектор не обязательно 120 градусов, они пересекаются
для определения оператором использование ТА более чем глупо
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

120. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 06-Окт-08, 03:44 
>для определения оператором использование ТА более чем глупо

А как по вашему мнению тогда умно и как это технически реализовано?При условии что мобильник специально не подыгрывает (а откуда на нем для этого софт?).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

122. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 09:00 
ТА дает точность ~500м, TA доступно только во время разговора (хотя есть большая уверенность что и во время GPRS сессии), ТА доступно для БС в которой зарегистрирован мобильник (правда ничто не мешает оператору принудить сменить БС)

и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со сторонами в 500м

но ничего не мешает оператору поставить доп оборудование, синхронизировать время на БС, и пинговать мобильник с нескольких БС для определения расстояния с точностью превосходящей 500м

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

141. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 07-Окт-08, 10:10 
>ТА дает точность ~500м,

... а по ID соты как бы еще и сектор известен.То есть, известен довольно небольшой пятачок - ~треть кольца толщиной в 500 метров.Это конечно не как в GPS но и не так уж плохо.Данный клочок территории при нужде реально прочесать граблями.А уж если мобила несколько сот поюзает - и вовсе замечательно - пересечение таких колец, там уже и про 100 метров будет.

>TA доступно только во время разговора (хотя есть большая уверенность что и во
>время GPRS сессии), ТА доступно для БС в которой зарегистрирован мобильник
>(правда ничто не мешает оператору принудить сменить БС)

Для начала, TA в принципе доступен при любом обмене данными соты с мобильником.Это довольно базовый элемент протокола, нужный из-за деления использования эфира по времени (aka TDMA).Грубо говоря, физический смысл TA - скорость распостранения электромагнитных волн (скорость света) не бесконечна.TA - это поправка на расстояние. Без использования TA пакеты просто не будут попадать в свои таймслоты из-за задержки вызванной расстоянием и не бесконечной скоростью радиоволн.Единственная особенность которую я знаю: дальнобойные соты (вдоль дорог, морских побережий и т.п.) могут пожертвовать половину слотов допустив попаадение в них данных от соседнего таймслота.При этом емкость соты разумеется падает вдвое (4 таймслота вместо 8, но зато можно вылезти за те 30 км от соты которые может скомпенсировать TA по стандарту GSM).

>и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со
>сторонами в 500м

Пересечение 1/3 колец 500-метровой толщины.Что за фигура получится зависит от числа сот.

>но ничего не мешает оператору поставить доп оборудование, синхронизировать время на БС,

Просто вон то - гарантировано, по стандарту.Возможно можно и лучше.Но насколько - вопрос.Точные измерения времен - натуральный головняк.Достаточно почитать про принцип работы GPS (там точные замеры времени очень важны) чтобы понять масштаб этого головняка.

>и пинговать мобильник с нескольких БС

Именно.Сеть может инициировать активность мобильника.Или например просто указать небольшой интервал перерегистрации - тогда мобильник сам будет попинговывать :) правда батарейку это сожрет быстрее чем обычно...

>для определения расстояния с точностью превосходящей 500м

Возможно что определение координат опсосами и меряет время точнее чем надо для TA.Хотя буду честен, точных методов определения координат мобил которые в ходу у операторов я не знаю и руководствовался сугубо знаниями из документов ETSI.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

142. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 07-Окт-08, 10:59 
>... а по ID соты как бы еще и сектор известен.То есть,
>известен довольно небольшой пятачок - ~треть кольца толщиной в 500 метров.Это
>конечно не как в GPS но и не так уж плохо.Данный

CellID как показал опыт пустое... телефон как правило видит несколько секторов (порой все) одной БС и свободно прыгает между ними...

>клочок территории при нужде реально прочесать граблями.А уж если мобила несколько
>сот поюзает - и вовсе замечательно - пересечение таких колец, там
>уже и про 100 метров будет.

если уж чесать граблями то можно и 500м прочесать и 1км ;)

>Для начала, TA в принципе доступен при любом обмене данными соты с
>мобильником.Это довольно базовый элемент протокола, нужный из-за деления использования эфира по
>времени (aka TDMA).Грубо говоря, физический смысл TA - скорость распостранения электромагнитных

это все понятно, я просто опять применительно к софту со стороны мобильника )

>
>>и в лучшем случае мы получим нечто похожее на равнобедренный треугольник со
>>сторонами в 500м
>
>Пересечение 1/3 колец 500-метровой толщины.Что за фигура получится зависит от числа сот.
>
>
>Просто вон то - гарантировано, по стандарту.Возможно можно и лучше.Но насколько -

ну когда то в стандарте и гпрс небыло, растут запросы у человечества...

>вопрос.Точные измерения времен - натуральный головняк.Достаточно почитать про принцип работы GPS
>(там точные замеры времени очень важны) чтобы понять масштаб этого головняка.

я в курсе

>Именно.Сеть может инициировать активность мобильника.Или например просто указать небольшой интервал перерегистрации -
>тогда мобильник сам будет попинговывать :) правда батарейку это сожрет быстрее
>чем обычно...

можно и так, но для этого придется на всех БС синхронизировать время с той же точностью что и мерять, это не меньший головняк...

>Возможно что определение координат опсосами и меряет время точнее чем надо для
>TA.Хотя буду честен, точных методов определения координат мобил которые в ходу
>у операторов я не знаю и руководствовался сугубо знаниями из документов
>ETSI.

етси не предпологало определение местоположения...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от iav (ok) on 02-Окт-08, 23:09 
бугага.
Сказано чудесно.
Били по гвадратам и всему, что в них находилось - домам, садам, людям, ну и мобильникам, в том числе :)

Вы на митингах выступаете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

108. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Zulu on 05-Окт-08, 17:22 
>>>При такой большой рабочей частоте...
>
>Расскажите эту лабуду жителям Цхинвала....
>А грызуны там как раз били по мобильникам в том числе....

атас, вот это мозги замылены

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 03-Окт-08, 09:08 
А всех слушать и не надо, достаточно логировать на определденные слова, и в случаи надобности поднимать конкретные архивы конкретного человека. Такое ощущение что многие забыли про "Эшелон".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 21:03 
>>Выход один - создание закрытых внутренних
>
>Выход один - не нарушать закон. Спецслужбы тебя уже "тотально контролируют" по
>твоему мобильнику и даже через него могут на тебя ракету навести
>в форточку.

Мобильный телефон легко выключить или же оставить дома, а самому уйти совершать терр.акт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 02-Окт-08, 18:12 
>ага, а наследник изначально будет иметь такой дизайн чтобы находиться под тотальным
>контролем спец-служб,

Эээ а что, СОРМ разве уже отменили?Да и межконтинентальных каналов не так много и их в принципе контролировать могут.Даже если это в каком-то случае и не так, если вас волнует чтобы ваши секреты оставались при вас, всегда надо действовать так как будто промежуточные узлы могут быть взяты под контроль недоброжелателем.Потому что обратное вам никто не гарантирует как бы.

>закрытых внутренних зашифрованных сетей типа VPN

Ну да.Ерунда вопрос, если все делать грамотно, понимая как работает криптография и какие сильные и слабые места есть.

>и кроме этого использовать асинхронное

Да... при таком знании криптографии большому брату думаю не составит проблем утянуть ваши секреты так что вы и не заметите ничего :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от СОРМ on 03-Окт-08, 13:36 
>>с полным выходом на источник

Фи, как старо... Даже банальный СОРМ раз-два-три(?) позволяет не только "подслушать" (не говоря, что хранить 10 лет опсосы должны минимум весь трафик по закону), но "на лету подменить" (или подавить - по поставленной адаче) исходящее (или входящее) сообщение. Так что, добро пожаловать  в реальность...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 03-Окт-08, 14:00 
>>>с полным выходом на источник
>
>Фи, как старо... Даже банальный СОРМ раз-два-три(?) позволяет не только "подслушать" (не
>говоря, что хранить 10 лет опсосы должны минимум весь трафик по
>закону), но "на лету подменить" (или подавить - по поставленной адаче)
>исходящее (или входящее) сообщение. Так что, добро пожаловать  в реальность...
>

Поучи хотя бы общедоступную матчасть для начала, а?
Срок хранения ИНФОРМАЦИИ по трафику (а не самого трафика) составляет три года.
http://www.mfisoft.ru/operators/sorm/yanvar.html

Подменять на лету - на 99% уверен, что нет, не может. По той простой причине, что трафик зеркалируется на СОРМовскую аппаратуру, а не гонится через неё.
Так что давай, проходи со своим идиотизмом подальше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 03-Окт-08, 14:02 
>Подменять на лету - на 99% уверен, что нет, не может. По
>той простой причине, что трафик зеркалируется на СОРМовскую аппаратуру, а не
>гонится через неё.

А, вот и нашёл прямое указание на это: http://www.sormovich.ru/security
[quote]
Способ подключения системы к оборудованию сети передачи данных исключает передачу любой информации из системы. Система работает только на прием.
[/quote]

Сказочник, ау, ты где?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 03-Окт-08, 22:37 
>по закону

По закону много кто и чего должен, а вот что там по факту имеется - тот еще вопрос... =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

88. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 03-Окт-08, 23:44 
>>по закону
>
>По закону много кто и чего должен, а вот что там по
>факту имеется - тот еще вопрос... =)

Гы, ну уж явно не на 10 лет, закону меньше лет =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 17:00 
А не, что Crypto SYN cookies уже работоспособны?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Grigoriy on 02-Окт-08, 17:04 
Ну его нафиг такие новости.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 17:07 
Это по страусиному принципу - от проблем голову в песок, глядишь пронесет? 8-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Grigoriy on 02-Окт-08, 17:34 
>Это по страусиному принципу - от проблем голову в песок, глядишь пронесет?
>8-)

Нет действия нужно предпринять, но таких новостей бы поменьше ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от DM (??) on 03-Окт-08, 09:35 
>Нет действия нужно предпринять, но таких новостей бы поменьше ;)

А какие действия-то? FIDO рулит? :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 03-Окт-08, 22:38 
>А какие действия-то? FIDO рулит? :D

Back to the future. Floppynet :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 17:14 
а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя никогда их не включал и включать желание не возникало... :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 18:01 
>а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>никогда их не включал и включать желание не возникало... :)

Ну вот может уже пришла пора включать их? xD

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Andrew Kolchoogin on 02-Окт-08, 18:06 
>> а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>> никогда их не включал и включать желание не возникало... :)
> Ну вот может уже пришла пора включать их? xD

Ну вот может уже пришла пора поставить на Border Router FreeBSD или OpenBSD? И ознакомиться с параметром "synproxy state" у PF? Вместо того, чтобы пользоваться SYN Cookies, устаревшими, как минимум, лет на пять?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от V (??) on 02-Окт-08, 19:14 
/me returns True
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 03-Окт-08, 02:57 
>>> а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>>> никогда их не включал и включать желание не возникало... :)
>> Ну вот может уже пришла пора включать их? xD
>
>Ну вот может уже пришла пора поставить на Border Router FreeBSD или
>OpenBSD? И ознакомиться с параметром "synproxy state" у PF? Вместо того,
>чтобы пользоваться SYN Cookies, устаревшими, как минимум, лет на пять?

что то не понятно, когда данные ОС стали считать современными и приравнивать к маршрутизаторам, да и информация в новости говорит немного о другом...
Было бы интересно, узнать, как можно пропустить поток 3,2Gps через ПК ? я не говорю о сервисах и всем остальном...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 03-Окт-08, 12:55 
Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом, линуксой без проблем.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

90. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 04-Окт-08, 02:15 
>Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом,
>линуксой без проблем.

как маршрутизатор ? 1Гб/сек ? какой pps ? каким образом пакеты коммутируются?
если не секрет какая конфигурация у данного ПК

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

91. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 04-Окт-08, 11:53 
>>Отвлечённо говоря, полностью забитый гигабит пропускается без проблем, с фильтрованием и NAT'ом,
>>линуксой без проблем.
>
>как маршрутизатор ? 1Гб/сек ?

Да, как маршрутизатор - шлюзуются порядка 20 тысяч клиентов, почти все из них NATятся.
>какой pps ?

Не помню, вечером посмотрю. =)
conntrack показывает порядка 800 тысяч сессий.

>каким образом пакеты коммутируются?

Э-э-э...? В смысле?
>
>если не секрет какая конфигурация у данного ПК

2 четырёхядерных ксеона, онбордная интеловская сетевушка. Если нужно подробнее, то тоже только вечером.
Кстати, из 8 ядер свободными остаются 6 - два ядра "затыкаются" по прерываниям.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

92. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 04-Окт-08, 13:18 
если я правильно Вас понял, у вас работает nat на основе iptables (Linux) ?
прерывания сетевых карт както привязанны к процессорам?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

93. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 04-Окт-08, 13:51 
>если я правильно Вас понял, у вас работает nat на основе iptables
>(Linux) ?

Да. ipset + iptables
>прерывания сетевых карт както привязанны к процессорам?

Пробовали, но суть остаётся такой же. Прерывания от одной сетевухи на два и более ядра не параллелятся, насколько я понимаю.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

94. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 04-Окт-08, 14:17 
если не секрет расскажие, что за дисрибутив у Вас, версия ядра ? если ли какие-то патчи для ядра ? настройки sysctl ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

96. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 04-Окт-08, 16:47 
>если не секрет какая конфигурация у данного ПК

Мне почему-то кажется что если WL500GP с его 264MHz MIPS-процессором способен в принципе при роутинге выжать практически 100 мбитов (как минимум на больших пакетах) то гигабит (как минимум на больших пакетах) любой уважающий себя современный писюк у которого намного более мощный CPU вытянуть обязан.Иначе это просто кусок хлама какой-то.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

101. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 04-Окт-08, 17:57 
>>если не секрет какая конфигурация у данного ПК
>
>Мне почему-то кажется что если WL500GP с его 264MHz MIPS-процессором способен в
>принципе при роутинге выжать практически 100 мбитов (как минимум на больших
>пакетах) то гигабит (как минимум на больших пакетах) любой уважающий себя
>современный писюк у которого намного более мощный CPU вытянуть обязан.Иначе это
>просто кусок хлама какой-то.

не совем, PC не использует никаких методов коммутации, кроме как процессором - пакет->прерывание...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

102. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 05-Окт-08, 06:40 
> пакет->прерывание...

То что у х86 с прерываниями плохо конечно все знают, но обычно гигабитные сетевухи и их драйвера по этой причине предпринимают ряд мер для снижения частоты прерываний, чтобы старикан от нагрузки не играл в ящик.Думаю что при интенсивном потоке небольших пакетов прерывание генерится отнюдь не на каждый пакет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

103. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 05-Окт-08, 12:44 
а когда же ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

107. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 17:20 
и все таки матрицы коммутации циски и общий буфер гораздо производительнее чем перекладывание пакетов даже ксеонами...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

111. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 05-Окт-08, 17:30 
это да, но я не совсем понимаю, каким образом тогда без прерываний ПК обеспечивает достаточно большую передачу пакетов - pps, при этом не применяю никаких методов комутации...
хотелось из любопытсва ради узнать по-больше, вот поэтому и интересуюсь у тех, кто уже эксплуатирует подобного рода решения.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

112. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 17:34 
>это да, но я не совсем понимаю, каким образом тогда без прерываний
>ПК обеспечивает достаточно большую передачу пакетов - pps, при этом не
>применяю никаких методов комутации...

имхо сказки

>хотелось из любопытсва ради узнать по-больше, вот поэтому и интересуюсь у тех,
>кто уже эксплуатирует подобного рода решения.

имхо люди из тех кто не боится выстрелить себе в ногу
особенно если представить сколько стоит конфиг из двух 4х ядерных ксеонов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

114. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 05-Окт-08, 19:49 
да дело сечас не в цене, и к тому же он стоит копейки, 4-5к это самый дешевый сервер, который может позволить себе любой ларек.

я не понял про Ваше высказывание про "имхо сказки", расскажите подробнее

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

115. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 20:48 
>да дело сечас не в цене, и к тому же он стоит
>копейки, 4-5к это самый дешевый сервер, который может позволить себе любой
>ларек.

4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены

>
>я не понял про Ваше высказывание про "имхо сказки", расскажите подробнее

не верю я про коммутацию гигабита на PC...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

116. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 05-Окт-08, 20:59 
я то же не очень верю, коммутации как таковой там вообще нет

>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены

к примеру вот - http://www.stss.ru/products/T-series/TX200.html?config
самое простое и вполне доступное.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

117. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 05-Окт-08, 23:14 
>я то же не очень верю, коммутации как таковой там вообще нет
>
>
>>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены
>
>к примеру вот - http://www.stss.ru/products/T-series/TX200.html?config
>самое простое и вполне доступное.

Экие вы неверящие-то. Попробуйте сами, в чём проблема?
Вот график загрузки за неделю:
http://s2.ipicture.ru/uploads/081005/WMVlTJETwp.png

В одном, правда, я ошибся - сейчас стоит сервер с четырьмя ядрами, а не восемью - два ксеона по два ядра:


  1  [|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||100.0%]     Tasks: 74 total, 2 running
  2  [                                                             0.0%]     Load average: 1.13 1.43 1.30
  3  [                                                             0.0%]     Uptime: 37 days, 22:30:21
  4  [                                                             0.0%]
  Mem[||||||||||||||||||||||||||||||||||||||||||||||||||||||||528/884MB]
  Swp[                                                            0/0MB]

  PID USER     PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
    4 root      15  -5     0     0     0 R 100.  0.0 14h04:35 ksoftirqd/0
    1 root      20   0  2424  1328   536 S  0.0  0.1  0:05.77 /sbin/init
    2 root      15  -5     0     0     0 S  0.0  0.0  0:00.00 kthreadd
    3 root      RT  -5     0     0     0 S  0.0  0.0  0:02.45 migration/0
    5 root      RT  -5     0     0     0 S  0.0  0.0  0:01.59 migration/1
    6 root      15  -5     0     0     0 S  0.0  0.0 15h00:02 ksoftirqd/1
    7 root      RT  -5     0     0     0 S  0.0  0.0  0:02.45 migration/2
    8 root      15  -5     0     0     0 S  0.0  0.0 13h16:13 ksoftirqd/2
    9 root      RT  -5     0     0     0 S  0.0  0.0  0:01.75 migration/3
   10 root      15  -5     0     0     0 S  0.0  0.0 29h00:36 ksoftirqd/3
   11 root      15  -5     0     0     0 S  0.0  0.0  1:39.50 events/0

newaqua:~# iptables -L -n -v | wc -l
378
newaqua:~# ipset -L -n | wc -l
14202
newaqua:~# conntrack -L | wc -l
conntrack v0.9.7: 818017 flow entries has been shown.
818017
newaqua:~# uname -a
Linux newaqua 2.6.24.3 #3 SMP Fri Aug 29 00:25:02 MSD 2008 i686 GNU/Linux
newaqua:~# cat /etc/*rel*
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=7.10
DISTRIB_CODENAME=gutsy
DISTRIB_DESCRIPTION="Ubuntu 7.10"
newaqua:~# lspci
00:00.0 Host bridge: Intel Corporation 5000V Chipset Memory Controller Hub (rev b1)
00:02.0 PCI bridge: Intel Corporation 5000 Series Chipset PCI Express x8 Port 2-3 (rev b1)
00:03.0 PCI bridge: Intel Corporation 5000 Series Chipset PCI Express x4 Port 3 (rev b1)
00:08.0 System peripheral: Intel Corporation 5000 Series Chipset DMA Engine (rev b1)
00:10.0 Host bridge: Intel Corporation 5000 Series Chipset FSB Registers (rev b1)
00:10.1 Host bridge: Intel Corporation 5000 Series Chipset FSB Registers (rev b1)
00:10.2 Host bridge: Intel Corporation 5000 Series Chipset FSB Registers (rev b1)
00:11.0 Host bridge: Intel Corporation 5000 Series Chipset Reserved Registers (rev b1)
00:13.0 Host bridge: Intel Corporation 5000 Series Chipset Reserved Registers (rev b1)
00:15.0 Host bridge: Intel Corporation 5000 Series Chipset FBD Registers (rev b1)
00:16.0 Host bridge: Intel Corporation 5000 Series Chipset FBD Registers (rev b1)
00:1c.0 PCI bridge: Intel Corporation 631xESB/632xESB/3100 Chipset PCI Express Root Port 1 (rev 09)
00:1e.0 PCI bridge: Intel Corporation 82801 PCI Bridge (rev d9)
00:1f.0 ISA bridge: Intel Corporation 631xESB/632xESB/3100 Chipset LPC Interface Controller (rev 09)
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller (rev 09)
00:1f.2 IDE interface: Intel Corporation 631xESB/632xESB/3100 Chipset SATA IDE Controller (rev 09)
00:1f.3 SMBus: Intel Corporation 631xESB/632xESB/3100 Chipset SMBus Controller (rev 09)
01:00.0 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express Upstream Port (rev 01)
01:00.3 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express to PCI-X Bridge (rev 01)
02:00.0 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express Downstream Port E1 (rev 01)
02:02.0 PCI bridge: Intel Corporation 6311ESB/6321ESB PCI Express Downstream Port E3 (rev 01)
04:00.0 Ethernet controller: Intel Corporation 80003ES2LAN Gigabit Ethernet Controller (Copper) (rev 01)
04:00.1 Ethernet controller: Intel Corporation 80003ES2LAN Gigabit Ethernet Controller (Copper) (rev 01)
08:0c.0 VGA compatible controller: ATI Technologies Inc ES1000 (rev 02)
newaqua:~#

Кстати, рекомендую почитать: http://datatag.web.cern.ch/datatag/howto/tcp.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

124. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 09:05 
>Кстати, рекомендую почитать: http://datatag.web.cern.ch/datatag/howto/tcp.html

спасибо, ознакомился

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

123. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 09:02 
>к примеру вот - http://www.stss.ru/products/T-series/TX200.html?config
>самое простое и вполне доступное.

ах речь о уе...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

118. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 05-Окт-08, 23:16 
>>да дело сечас не в цене, и к тому же он стоит
>>копейки, 4-5к это самый дешевый сервер, который может позволить себе любой
>>ларек.
>
>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены
>

Вы настолько бедны, что не можете себе этого позволить, но хотите поставить вместо этого Циску?
Расскажите, кстати, чем сравнимым по цене вы пропускали бы порядка 20 тысяч пользователей в интернет через NAT, запрещая или разрешая доступ и собирая одновременно с этого устройства NetFlow-статистику по трафику?

>
>>
>>я не понял про Ваше высказывание про "имхо сказки", расскажите подробнее
>
>не верю я про коммутацию гигабита на PC...

Мало знаете, значит. Бывает...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

119. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от universite email(ok) on 06-Окт-08, 03:02 
Зря вы так повелись на тролля.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

126. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 09:32 
>Расскажите, кстати, чем сравнимым по цене вы пропускали бы порядка 20 тысяч
>пользователей в интернет через NAT, запрещая или разрешая доступ и собирая
>одновременно с этого устройства NetFlow-статистику по трафику?

в такую же цену не скажу, дороже - 5540, правда к шлюзу вы получете еще не понятно нужное ли вам...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

132. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 06-Окт-08, 11:46 
Вы тоже както злостно говорите, ведь 20, 000 пользователей легко окупают хорошый отказоустойчивый кластер из несколькой cisco asa или я не прав !? да и к тому же добавлют множество возможностей
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

134. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 06-Окт-08, 11:55 
>Вы тоже както злостно говорите, ведь 20, 000 пользователей легко окупают хорошый
>отказоустойчивый кластер из несколькой cisco asa или я не прав !?
>да и к тому же добавлют множество возможностей

Вы конкретные модели железяк со стоимостью приведите ;-) Напомню, что помимо обычного шлюзования, нужно снимать NetFlow с гигабита и выполнять NAT-преобразования на почти 1 млн. сессий.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

121. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 06-Окт-08, 03:56 
>4-5k двухпроцессорная мать и 2 4х ядерных ксеона? расскажите где такие цены

О господи.Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых процессоров на пару GHz или быстрее?А чем они будут заниматься?В восемь ядер обслуживать прерывания от двух сетевух?Вообще-то если уж на то пошло, хорошо бы чтобы каждое ядро обслуживало свое прерывание.Чтобы кэш эффективно работал.Допустим 2 ядра на прерывания от сетевух.Хотя я честно говоря не думаю что с мало-мальски нормальными сетевухами 2 ядра напрочь озадачатся только прерываниями.А остальным 6 ядрам что делать?Все шесть должны обсчитывать роутинг и фаерволинг?Что-то мне кажется что для шести ядер нужны задачи помасштабнее в несколько раз.

>не верю я про коммутацию гигабита на PC...

Хм, вопросами веры занимаются церковники всякие.А в данном случае можно взять и померять.В конце концов, гигабит - это около 100 Мбайтов в секунду.С современного жесткого диска на такой скорости данные выгребаются и ничего, никто прерываниями не давится.Ну и с эзернета можно гигабит выгребать.А уж если сетевуха не позорная - так даже с сравнительно хилым процессором(на более-менее навернутых сетевухах чипы занимаются аппаратным оффлоадом рассчета чексумм, сборки фрагментов и прочая).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

125. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 09:23 
>О господи.Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых процессоров на пару

в том то и дело что 8 ядер совершенно излишни, при методах коммутации отличных от интерфейс - проц - рама - проц - интерфейс

>Хм, вопросами веры занимаются церковники всякие.А в данном случае можно взять и
>померять.

померяйте скорость света, или размер протона ;) или вы все же верите ученым?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

127. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 06-Окт-08, 09:52 
>>О господи.Чтобы коммутировать гигабит теперь надо оказывается 8 навороченых процессоров на пару
>
>в том то и дело что 8 ядер совершенно излишни, при методах
>коммутации отличных от интерфейс - проц - рама - проц -
>интерфейс

А никто и не утверждал, что 8 ядер НЕОБХОДИМО. Я лишь сказал, что сервер с 8 ядрами. Ну не было у нас серверов слабей, не было. =)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

128. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 10:01 
>А никто и не утверждал, что 8 ядер НЕОБХОДИМО. Я лишь сказал,
>что сервер с 8 ядрами. Ну не было у нас серверов
>слабей, не было. =)

так и мне колво ядер до фени, сомнительность была именно в способе коммутации, а сколько там ядер неважно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

129. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 06-Окт-08, 10:11 
>>А никто и не утверждал, что 8 ядер НЕОБХОДИМО. Я лишь сказал,
>>что сервер с 8 ядрами. Ну не было у нас серверов
>>слабей, не было. =)
>
>так и мне колво ядер до фени, сомнительность была именно в способе
>коммутации, а сколько там ядер неважно.

Сомнений, надо полагать, больше нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

130. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 06-Окт-08, 10:27 
>Сомнений, надо полагать, больше нет?

сомнения есть всегда ;)
но галочка о возможности такого решения проставлена ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

131. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 06-Окт-08, 10:44 
>>Сомнений, надо полагать, больше нет?
>
>сомнения есть всегда ;)
>но галочка о возможности такого решения проставлена ))

"Просвещение - в массы!" ;-)

Забыл sysctl показать, кстати (хотя он не до конца затюнен):
dyr@newaqua:~$ cat /etc/sysctl.conf |grep -v ^# | grep -v ^$
kernel.printk = 4 4 1 7
kernel.maps_protect = 1
net.ipv4.ip_forward=1
net.ipv4.conf.all.send_redirects=0
echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
net.netfilter.nf_conntrack_max=1048576
net.ipv4.tcp_keepalive_intvl=5
net.ipv4.tcp_keepalive_time=180
net.ipv4.tcp_keepalive_probes=3
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_max_syn_backlog=4096
net.core.netdev_max_backlog=5000
net.ipv4.icmp_ratelimit=0
net.netfilter.nf_conntrack_checksum=0
net.core.rmem_default=16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_sack=0
net.ipv4.tcp_no_metrics_save = 1
net.ipv4.tcp_moderate_rcvbuf = 1
net.ipv4.tcp_congestion_control=highspeed
kernel.panic=5
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.ip_local_port_range=3000 65535
net.ipv4.neigh.default.gc_thresh1 = 512
net.ipv4.neigh.default.gc_thresh2 = 1024
net.ipv4.neigh.default.gc_thresh3 = 2048

Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог %-О

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

133. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 06-Окт-08, 11:53 
>[оверквотинг удален]
>kernel.panic=5
>net.ipv4.tcp_tw_reuse=1
>net.ipv4.tcp_tw_recycle=1
>net.ipv4.ip_local_port_range=3000 65535
>net.ipv4.neigh.default.gc_thresh1 = 512
>net.ipv4.neigh.default.gc_thresh2 = 1024
>net.ipv4.neigh.default.gc_thresh3 = 2048
>
>Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог
>%-О

любой программой, например iptraf
я так понимаю это работает "быстро" от того, что в системе несколько CPU ? кстати уровень задержки средний при средней загрузки какой ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

136. "Гигабит на Линуксе"  
Сообщение от Dyr email(??) on 06-Окт-08, 14:12 
>>Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог
>>%-О
>
>любой программой, например iptraf

О как. Я привык к FreeBSD'шной стандартной netstat и иже с ней, которые накапливают статистику за время работы. Неужто в линуксе похожего нет?

>я так понимаю это работает "быстро" от того, что в системе несколько
>CPU?

"Быстро" можно и без кавычек ставить. =)
По нашим ощущениям нет, не от этого. Я загрузку выше приводил, там хорошо видно, что загружено всего одно ядро.

> кстати уровень задержки средний при средней загрузки какой ?

Предвижу очередной взрыв недоверия =), но тем не менее при средней загрузке максимум 2 мс.
При максимальной загрузке 30-50 мс, но это уже физика, никуда не денешься - ну не лезет больше 1Гбита, никак =)
Сегодня jumbo frame включил, посмотрим, поможет ли.
Ниже вывод iptraf (который, к слову, сам конкретно грузит сеть) конкретно сейчас, в момент средней нагрузки:
                                                                                              │
│ Total rates:     922413.8 kbits/sec  
│                  150682.4 packets/sec
│ Incoming rates:  445181.2 kbits/sec
│                   75814.0 packets/sec
│ Outgoing rates:  477401.4 kbits/sec
│                   74868.4 packets/sec
─────────────────────────────────────────────────────────────────────────────────────────────────┘

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

135. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 06-Окт-08, 12:06 
>[оверквотинг удален]
>kernel.panic=5
>net.ipv4.tcp_tw_reuse=1
>net.ipv4.tcp_tw_recycle=1
>net.ipv4.ip_local_port_range=3000 65535
>net.ipv4.neigh.default.gc_thresh1 = 512
>net.ipv4.neigh.default.gc_thresh2 = 1024
>net.ipv4.neigh.default.gc_thresh3 = 2048
>
>Кстати, а как в Линуксе PPS посмотреть-то? Что-то даже google не помог
>%-О

За информацию спасибо, не нужно все вопрринимать агресивно, вас же никто не обидел или оскорбил.
этот "тюнинг" (к стати я не понимаю почему этим словом называют), по факту оптимизирует только TCP, но не убирает прерывания сетевых интерфейсов с CPU

единственное, что немного может улучшить так это увелечение входящей очереди интерфейса, увеличение таблицы arp, я не совсем понимаю зачем оптимизировать tcp на по сути L3 устройстве, если до заголовка транспортного ровня он вовсе не доходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

137. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 06-Окт-08, 14:25 
>>[оверквотинг удален]
>За информацию спасибо, не нужно все вопрринимать агресивно, вас же никто не
>обидел или оскорбил.

Где ж я агрессивно воспринял? На пустое "не верю" я ответил вполне конкретными цифрами, мы с вами так и вообще вроде вполне нормально общаемся.

>этот "тюнинг" (к стати я не понимаю почему этим словом называют), по
>факту оптимизирует только TCP, но не убирает прерывания сетевых интерфейсов с
>CPU

Не убирает, да.
Но вот в чём дело - сокращение передачи обработки прерываний с процессора путём увеличения очереди пакетов неизбежно ведёт к увеличению временнЫх задержек на интерфейсе, пусть и путём уменьшения загрузки на CPU. Смысла в этом я не вижу - сетевуха гигабит с текущей загрузкой проца нормально пропускает.

>
>единственное, что немного может улучшить так это увелечение входящей очереди интерфейса, увеличение таблицы arp,

Неактуально - до этого шлюза маршрутизируется (и шейпится) на Cisco 6504, так что у него всего две arp-записи.

>я не совсем понимаю зачем оптимизировать tcp на по сути L3 устройстве, если до заголовка транспортного ровня он вовсе не доходит.

"Смысл ваших слов от меня ускользает" =) Какую именно ненужную оптимизацию tcp транспортного уровня вы видите?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

138. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 06-Окт-08, 14:33 
Кстати, поставил irqbalance (что-то мы про него забыли %-) при установке ), картинка htop изменилась на такую (всё та же средняя нагрузка):


  1  [                                              0.0%]     Tasks: 75 total, 1 running
  2  [|||||||||||||||||||||||||||||||||            65.8%]     Load average: 0.00 0.03 0.07
  3  [                                              0.0%]     Uptime: 38 days, 14:03:30
  4  [||||||||||||||||||||||||||||||||||||         69.7%]
  Mem[|||||||||||||||||||||||||||||||||||||||||581/884MB]
  Swp[                                             0/0MB]

  PID USER     PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
17976 root      20   0  2404  1192   952 R  1.4  0.1  0:00.04 htop
    6 root      15  -5     0     0     0 S  0.7  0.0 15h24:55 ksoftirqd/1
    1 root      20   0  2424  1328   536 S  0.0  0.1  0:05.82 /sbin/init
    2 root      15  -5     0     0     0 S  0.0  0.0  0:00.00 kthreadd
    3 root      RT  -5     0     0     0 S  0.0  0.0  0:02.49 migration/0
    4 root      15  -5     0     0     0 S  0.0  0.0 14h16:06 ksoftirqd/0
    5 root      RT  -5     0     0     0 S  0.0  0.0  0:01.63 migration/1
    7 root      RT  -5     0     0     0 S  0.0  0.0  0:02.48 migration/2
    8 root      15  -5     0     0     0 S  0.0  0.0 13h40:51 ksoftirqd/2
    9 root      RT  -5     0     0     0 S  0.0  0.0  0:01.78 migration/3
   10 root      15  -5     0     0     0 S  0.0  0.0 29h56:10 ksoftirqd/3
   11 root      15  -5     0     0     0 S  0.0  0.0  1:41.15 events/0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

139. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от chesnok email(ok) on 07-Окт-08, 01:29 
>[оверквотинг удален]
>0     0 S  0.0  0.0
> 0:01.78 migration/3
>   10 root      15  
>-5     0     0
>    0 S  0.0  0.0 29h56:10
>ksoftirqd/3
>   11 root      15  
>-5     0     0
>    0 S  0.0  0.0  
>1:41.15 events/0

да действительно, производительность пересылки неплохая
мне удалось в качестве эксперемнта проверить скорость загрузки файла с ftp-сервера, через тестовый PC-роутер - обычная машина с Linux на xeon 2.8GHz, встроенные 2xintel 82541GI(машина без NAT,IP forwarding так же озадаченна и загруженна нормально), но при скорости потока 360-400Мб/сек, на irq было до 25%, что собственно и есть нормально, к сожелению ftp-сервер не мог отдать быстрее, но вот в Вашем случае получается, что остальная часть агрегата - процессоры просто простаивали...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

140. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 07-Окт-08, 09:55 
[оверквотинг удален]
>но вот в Вашем случае получается, что остальная часть агрегата -
>процессоры просто простаивали...

Ну и что? =)
Лучше иметь переизбыток мощности, чем её недостаток.
К тому же 1,5 свободных ядра из 4 возможных не такой уж большой запас.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Анонима on 02-Окт-08, 20:27 
>а SYN cookies кто-нибудь использует из присутствующих ? я лично у себя
>никогда их не включал и включать желание не возникало... :)

я включал, наш сервер ддосили - помогало сильно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от pavlinux (ok) on 02-Окт-08, 18:23 
А можно на уровне OS отрубить СИНкуки
net.ipv4.tcp_syncookies=0

А на уровне iptables/pf заниматься атифлудом

И почему не сказали про Cisco? У них всё в порядке?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 18:37 
С каких времён pf в вашем линуксе? Если не в нём, то с каких врёмен не в линуксе net.ipv4.tcp_syncookies ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Holy Cheater on 02-Окт-08, 21:43 
>С каких времён pf в вашем линуксе? Если не в нём, то
>с каких врёмен не в линуксе net.ipv4.tcp_syncookies ?

А iptables - че, тоже не в линуксе чтоли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 03-Окт-08, 22:42 
>А iptables - че, тоже не в линуксе чтоли?

Да просто у некоторых видимо очередные приступы неотпущенного ручника после распития тормозной жидкости.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 22:12 
> И почему не сказали про Cisco? У них всё в порядке?

читаем новость внимательно: ВСЕХ ИЗВЕСТНЫХ РЕАЛИЗАЦИЙ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от mitya (ok) on 02-Окт-08, 19:49 
Кстати, раз уж о pf речь зашла.
Его вообще реально на линукс портировать (с технической точки зрения)?
Может, кто уже ведет такую работу?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от yurkao email on 02-Окт-08, 20:18 
нет, но его реально поставить на windows
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 20:20 
> нет, но его реально поставить на windows

типа пошутил?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 20:27 
>> нет, но его реально поставить на windows
>
>типа пошутил?

Никаких шуток. Выгугливается менее чем за минуту - http://force.coresecurity.com/index.php?module=base&page=about
"...provides inbound and outbound stateful packet filtering for TCP/IP protocols using a Windows port of OpenBSD's PF firewall,..."

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Дмитрий Ю. Карпов on 02-Окт-08, 20:50 
>> нет, но его реально поставить на windows
> типа пошутил?

В Windows сетевой стек от FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от pavlinux (ok) on 02-Окт-08, 21:44 
А я то думаю, чего его глюкает всё время... Вот оно!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от rednikov email(ok) on 03-Окт-08, 08:34 
Ник твой грит сам за себя...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Дмитрий Ю. Карпов on 03-Окт-08, 11:31 
Если Windows и глюкает, то не из-за сетевого стека (по кр.мере, то й части, которая портирована из FreeBSD). Скорее глюки м.б. связаны с NetBIOS, который у Windows работает в режиме ядра.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

100. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 04-Окт-08, 17:37 
>NetBIOS, который у Windows работает в режиме ядра.

А стек TCP/IP по вашему где работает?!Виндовс в этом плане ничем не хуже других.Драйвер ядра tcpip.sys если что.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 03-Окт-08, 12:56 
Откуда дровишки?

Брандмауэр делал один из разработчиков ipfw, это да, а вот про сетевой стек слышу впервые.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от pawnhearts (ok) on 03-Окт-08, 19:41 
это старая городская легенда. в реальности сетевой стрек от bsd был в windows 3.51, потом написали свой
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 02-Окт-08, 20:45 
>Его вообще реально на линукс портировать (с технической точки зрения)?

Думаю что сие достаточно трудно.А смысл при наличии айпитаблеса?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от yason on 02-Окт-08, 23:27 
народ пробовал портировать. ниасилили ядро пилить. так что пользуйте iptables ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 02-Окт-08, 22:16 
>В идеальном случае (пингование сразу несколькими БСками с разных точек) - >будет пересечение секторов 500-метрового кольца.Все-равно довольно большой >пятачок территории.Если это пространство застроено обычными городскими >многоэтажками - задолбаться можно там искать.Если это чисто поле - ну да, влип >клиент, можно и просто пробомбить нужную территорию :)

Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте для операторов сотовой связи и с сотовыми сетями знаком не понаслышке, так вот он мне сказал, что в городе определить место нахождения абонента можно с точностью от 5 до 30м. Другое дело если вы находитесь загородом так там как раз те самые 500 метров.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Pilat (ok) on 02-Окт-08, 22:27 
>Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте
>для операторов сотовой связи и с сотовыми сетями знаком не понаслышке,
>так вот он мне сказал, что в городе определить место нахождения
>абонента можно с точностью от 5 до 30м. Другое дело если
>вы находитесь загородом так там как раз те самые 500 метров.

Теоретически может и можно, а практически, например, у меня в районе - Москва, Вешняки - одна базовая станция, судя по всему, и то не всегда доступна из-за плотной застройки.
Кроме того, лет пять назад у Мегафона была какая-то игра с определением позиции на сотовых - там как раз 500 метров на окраинах и получалось.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от NecAway on 03-Окт-08, 07:31 
>[оверквотинг удален]
>>так вот он мне сказал, что в городе определить место нахождения
>>абонента можно с точностью от 5 до 30м. Другое дело если
>>вы находитесь загородом так там как раз те самые 500 метров.
>
>Теоретически может и можно, а практически, например, у меня в районе -
>Москва, Вешняки - одна базовая станция, судя по всему, и то
>не всегда доступна из-за плотной застройки.
>Кроме того, лет пять назад у Мегафона была какая-то игра с определением
>позиции на сотовых - там как раз 500 метров на окраинах
>и получалось.

Господа, не нужно высказывать мнения от точности определения объекта по радиосигналу, если знакомы только со школьным курсом физики... это просто глупо... для определения места используется всего ОДНА антенна, 2-3 использовали разве что 40х. Если есть сигнал, его источник можно определить ОЧЕНЬ точно просто по самому сигналу, далее дело упирается в вычислительные мощности и алгоритмы. мало того, можно определять движиться-ли источник и в каком направлении и т.д. и т.п.
Вот там он смешивается - размешивается, цифровой - аналоговый, отражения - искажения... всё это фигня... Чтоб поймать источник, время приёма измеряется мили или даже микро секундами, дальше дело техники...
И кто вам сказал что, ББ для этого будет использовать сами вышки сотовой связи?.. глупость какая...

P.S. Вот если изобретать велосипед, и использовать вышки сотовой, тогда да, я даже и не берусь предположить точность.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от nonsens on 03-Окт-08, 08:39 
Короче  говоря, "у нас есть такииие приборы!!!, но мы вам о них не расскажем!"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Dyr email(??) on 03-Окт-08, 12:58 
Гггг, +100 =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от domas (ok) on 03-Окт-08, 10:37 
http://ru.wikipedia.org/wiki/Радиопеленгация
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Timka (??) on 03-Окт-08, 13:28 
> Господа, не нужно высказывать мнения от точности определения объекта по радиосигналу,
>если знакомы только со школьным курсом физики... это просто глупо... для
>определения места используется всего ОДНА антенна, 2-3 использовали разве что 40х.
>Если есть сигнал, его источник можно определить ОЧЕНЬ точно просто по
>самому сигналу, далее дело упирается в вычислительные мощности и алгоритмы. мало
>того, можно определять движиться-ли источник и в каком направлении и т.д.
>и т.п.

срочно патентуйте - озолотитесь :)
при помощи одной антенны точно определить местоположение источника сигнала можно в двух случаях:
1. пеленгатор находится в движении и постоянно определяет направление на источник сигнала. в этом случае засечь можно довольно быстро и довольно точно.
2. при неподвижном пеленгаторе - если известна мощность передатчика, отсутствуют переотражения сигнала (хотя с этим можно бороться), точно известен коэффициент ослабления сигнала средой и источник сигнала достаточно коротковолновый
никаких особых вычислительных можностей для этого не нужно, но, как было правильно земечено выше, вопрос осложняется тем, что GSM - это TDMA и одна и та же частота используется разными устройствами одновременно. т.е. пеленговать надо не столько саму частоту, сколько цифровой сигнал. а с этим уже свои сложности - нужно либо уметь все делать быстро с одной вращающейся антенной, как у радаров, либо иметь кучу разнонаправленных антенн... в общем, пеленгация GSM терминала та еще задачка. а ведь можно усложнить задачу, выходя на связь с левой симкой и разговаривая через SIP/Skype over GPRS/EDGE/UMTS/etc :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 03-Окт-08, 13:43 
вы собрались пеленговать зашифрованный траффик? тогда вам не важно что в нем летит...

определить местоположение может оператор, при соответсвующем оборудовании точность до десятков метров. метод не имеет ничего общего с пеленгацией. и оператору не имеет значения говорите вы по телефону или шлете данные...

зы народ изучите гугл там есть подробное описание методов...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Timka (??) on 03-Окт-08, 14:54 
речь шла о операторонезависимой пеленгации. прежде чем советовать читать гугл, научитесь читать сами то, на что отвечаете.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 03-Окт-08, 14:56 
>речь шла о операторонезависимой пеленгации

1невозможно
2где сказано?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

89. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (??) on 04-Окт-08, 00:39 
>или даже микро секундами, дальше дело техники...

Угу, вот только стандартные БС этого не умеют.Даже в GPS специально заточенном на определение координат, время - это ОГРОМНАЯ проблема.

Микросекунды, говорите?Скорость света вспомните, тогда микросекунды уже не покажутся ерундой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

110. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 17:28 
>Угу, вот только стандартные БС этого не умеют.Даже в GPS специально заточенном

стандартные умеют но точность та самая ~500 метров

>на определение координат, время - это ОГРОМНАЯ проблема.

вот время проблема но доп оборудование на БС решают ее, и есть методы меньше зависящие от времени

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Хм... on 03-Окт-08, 13:13 
Народ блин, тут все очень сильно зависит от эффективного диаметра соты чем он больше тем погрешность определения будет больше и наоборот
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 03-Окт-08, 13:44 
>Народ блин, тут все очень сильно зависит от эффективного диаметра соты чем
>он больше тем погрешность определения будет больше и наоборот

не зависит от размера соты совершенно, зависит от колва БС в окрестности...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Хм... on 03-Окт-08, 13:54 
ты думаеш что оно никак не связано? :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 03-Окт-08, 13:57 
я не думаю, я знаю...
еще я знаю что размер от диапазона зависит...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

98. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 04-Окт-08, 17:01 
>я не думаю, я знаю...
>еще я знаю что размер от диапазона зависит...

Как я понимаю система от BoBa работает на других принципах - там сам мобильник определяет свои координаты по тому какие БС вокруг.Для этого ему надо сделать ряд нестандарных действий а посему это могут делать только Siemens с ELF-патчем, для которых у BoBa и лежат ELF-ы.

А тут разговор об удаленном определении координат мобилы по излучению.Малость другое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

109. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 05-Окт-08, 17:26 
>Как я понимаю система от BoBa работает на других принципах - там
>сам мобильник определяет свои координаты по тому какие БС вокруг.

совершенно верно

>Для этого
>ему надо сделать ряд нестандарных действий а посему это могут делать
>только Siemens с ELF-патчем, для которых у BoBa и лежат ELF-ы.

не совсем так, работает например на СЕ (MID2P), точность только страдает.

>А тут разговор об удаленном определении координат мобилы по излучению.Малость другое.

ничто не мешает оператору использовать такойже метод, только со своей стороны, только для оператора есть методы гораздо точнее и проще

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

97. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от User294 (ok) on 04-Окт-08, 16:55 
>Народ блин, тут все очень сильно зависит от эффективного диаметра соты

Этот человек никогда не слышал про Timing Advance. RTFM доки с ETSI.ORG а потом будете рассказывать ваши сказки дальше...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Arif on 03-Окт-08, 00:01 
>Мой дед )) когда-то разрабатывал алгоритмы сжатия нескольких соединения на одной частоте
>для операторов сотовой связи и с сотовыми сетями знаком не понаслышке,
>так вот он мне сказал, что в городе определить место нахождения
>абонента можно с точностью от 5 до 30м.

Респект деду!
Мужики, вы что инженерное меню на мобильнике не включали что ли?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 03-Окт-08, 03:03 
>в один прекрасный момент все TCP соединения переставали нормально завершаться и оставались в состоянии TIME_WAIT, пока не достигался лимит на число сокетов

Да, бывало такое...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от BoBa (??) on 03-Окт-08, 08:01 
iGPS+ система достигающая точности определения местоположения мобильника до здания: http://igps.boba.su
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

143. "Исследователи нашли фундаментальную уязвимость во всех TCP/I..."  
Сообщение от Аноним (??) on 07-Окт-08, 10:59 
Бред в новости насчет SYN cookies.
В оригинальном подкасте Роберт только аналогию приводил. Они тут вообще не причем. И их отключение никак не поможет защититься от атаки.
Хоть бы разобрались в проблеме, прежде чем писать.
На insecure.org отличная статья на эту тему. Opennet все больше превращается в желтую прессу.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру