| Author |
Message |
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
 Posted: 29.01.2010 - 14:05 #79836
|
|
|
|
| ja osobne viem o 2 u nas... osobne to neriesim. |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 29.01.2010 - 14:53 #79837
|
|
Guru
Joined: Okt 23, 2005
Posts: 1031
Location: /etc/bin/ladin
|
|
gyro wrote: › andreas4all wrote: ›gyro > ano, ttl vie zmenit pomaly kazdy router... ale ktoreho bezneho usra to napadne?
Ktory bezny user zdiela internet dalej za peniaze ?
By si sa cudoval kolky provideri tu z skfree teraz rychlo googlia co je to TTL... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 29.01.2010 - 16:28 #79838
|
|
|
|
| to zelmar > tak to je ten najhorsi pripad... to sa neoplati ani dalej komentovat... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 01:19 #79858
|
|
Basic
Joined: Feb 28, 2005
Posts: 399
Location: Michalovce
|
|
kiwi: mna by zaujimalo ak do iptables pri 500mbit trafiku zadas 1 riadok, ktory ma riesit 1 IP adresu, laicky som tomu porozumel ze ten jeden riadok musi prechadzat uplne cely trafik aby z neho vytiahol len ten ktory prislucha tej IP a aplikoval na nu to pravidlo
cize ak tam zadam 30 riadkov tak to musi klaknut do kolien ak sa ma takyto trafik rozoberat |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 08:33 #79859
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
chlapci, otazku som polozil v roku 2004
odvtedy som to uz poriesil 
co sa tyka iptables , tak pri 500mbit trafficu ho treba pekne porozdelovat, tzn. prvych 30 riadkov iptables je /24, tymto roztriedim vsetok traffic 30 riadkami a az na tieto subnetiky applikujem dalsie pravidla
takze by to slo bez problemu , pretoze traffic okolo 600mbit firewallujem podobnym sposobom pod 0.1 load |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 10:05 #79862
|
|
Guru
Joined: Okt 23, 2005
Posts: 1031
Location: /etc/bin/ladin
|
|
kiwi wrote: ›chlapci, otazku som polozil v roku 2004
odvtedy som to uz poriesil
co sa tyka iptables , tak pri 500mbit trafficu ho treba pekne porozdelovat, tzn. prvych 30 riadkov iptables je /24, tymto roztriedim vsetok traffic 30 riadkami a az na tieto subnetiky applikujem dalsie pravidla
takze by to slo bez problemu , pretoze traffic okolo 600mbit firewallujem podobnym sposobom pod 0.1 load
Tymi prvymi 30 dosiahneme , ze sa budeme pozerat iba na pakety na ktore sa chceme naozaj pozriet a nebudu sa sypat stromom vsetky...je to taka mala obdoba HASH tabuliek. Aj Cisca routre by sa posrali keby nerobili HASH tabulky a ine uchlnosti, ktore maximalizuju efektivnost zariadenia. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 11:08 #79863
|
|
Guru
Joined: Jan 24, 2004
Posts: 1685
|
|
no pani akurat som prezil DDoS
140k+ paketov na interfejsi MK natovacej masiny nie je moc sranda.
logicky pomohla len filtracia u nadradeneho operatora aby sa to znormalizovalo.
je uchvatne riesit tieto veci ked je clovek mimo dosahu vlastnej siete a musi sa hrat na detektiva....
asi bude zasa treba zmenit/ predradit nejaky filtrovaci hardware... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 11:59 #79865
|
|
Basic
Joined: Jan 21, 2004
Posts: 425
Location: Rimavska Sobota
|
|
| 140k p/s to je taky bejby dos ale x86 riesenia jasne na tom zacnu umierat. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 15:41 #79867
|
|
Guru
Joined: Jan 24, 2004
Posts: 1685
|
|
krtko wrote: ›140k p/s to je taky bejby dos ale x86 riesenia jasne na tom zacnu umierat.
no kedze mavam mozno 25k ten narast bol na dany system enoromny. predradime asi nejake to cisco nech nam do buducna bude vediet pekne hardwerovo filtrovat traffic....
a ked uz tak hovoris bejby dos, ak ste mali/mavate kolko paketikov sa vam valilo najviac na uplinkovy interfejs |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 16:11 #79868
|
|
Basic
Joined: Jan 21, 2004
Posts: 425
Location: Rimavska Sobota
|
|
| niekde okolo 300k to peakovalo, plus minus ale aj to je v podstate nic. s takymito utokmi si to cisco hravo poradi. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 31.01.2010 - 17:18 #79870
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
kubik neblaazni ze cisco fw, staci ti tam dat switch ktory vie acl
aj na tigrovi zablokujes jednym hlupym aclko milionpps ak su male a nevyhulia ti celku linku |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 01.02.2010 - 08:35 #79874
|
|
Majster
Joined: Jún 12, 2005
Posts: 2739
Location: zilina
|
|
| kiwi si to vobec nepochopil, tu nejde o to, ze to dokaze tiger alebo ina masina, tu ide o to, ze musis mat cisco...ak nemas cisco nie si ISP. Ja ISP som, ja som na polane vyhral 10kove cisco, cize na mna sa uz nic nechyta a keby cisco nestihalo na poslednom stretku som dostal od Gyra TP-link, stohovatelny s tym ciscom, a pani mozem vyhlasit kludne sutaz...do toho tp-linku sa nenabura ani najvacsi guru |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 01.02.2010 - 10:45 #79879
|
|
Guru
Joined: Jan 24, 2004
Posts: 1685
|
|
akoze ziadna ASA ci ine speci FW riesenie od cisca ani nic podobne;
uz davnsjsie som sa pohraval s nejakym s sofistikovanejsim riesenim uplinku, kebyze mi moja GW u mna vykape.
myslim tym len prehnat to cez nejaku 3550, ktoru tam tak ci tak mam.... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 01.02.2010 - 11:17 #79883
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
421 wrote: ›kiwi si to vobec nepochopil, tu nejde o to, ze to dokaze tiger alebo ina masina, tu ide o to, ze musis mat cisco...ak nemas cisco nie si ISP. Ja ISP som, ja som na polane vyhral 10kove cisco, cize na mna sa uz nic nechyta a keby cisco nestihalo na poslednom stretku som dostal od Gyra TP-link, stohovatelny s tym ciscom, a pani mozem vyhlasit kludne sutaz...do toho tp-linku sa nenabura ani najvacsi guru
moje nesympatie k ciscu (kvoli extremnej cene v pomere k vykonu) su viacmenej asi zname, napriek tomu musim uz konstatovat ze s ciscom ma clovek znacnu mieru istoty ze ked uz za to vygrcal tolko penazi, tak je to aspon vyladene a ze to pobezi... pripad z minuleho tyzdna, mali sme na dost vytazenej casti backbonu tigerswitch, a co sa nestalo, klaklo mu webrozhranie na nedostatok pamate, a zaroven s tym mu klakol aj multicast z toho isteho dovodu... a kedze tamadial tecie OSPF, tak klakol subezne s tym aj routing na sieti... a to su prosim pekne veci ktore si na backbone vyprosim, aby mi tam vypadavali nejake posr8te switche... tak sme tam dali namiesto toho tigra L3kove cisco a som rad ze som rad. sice to cisco mam v prevadzke zopar dni ale chovam voci nemu daleko vacsiu mieru dovery, nez k hocijakemu sikmookemu onemu. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 01.02.2010 - 12:46 #79886
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
|
|
|
|
|
|
