Приходит гик тех лет на работу устраиваться на завод «Красный Богатырь». Народ тихо офигевает от обилия знаемых технологий, языков программирования и прочее. Берут «с руками и ногами». Просят заполнить анкету. А он писать не умеет :) Его взашей.
Проходит несколько лет, заграница, банк. Наш герой снимает крупную сумму ненаших денег, весь такой в белом. Его просят расписаться и тогда он выдает уже озвученную фразу про совершенно другую судьбину, если бы он писать умел :)
:) Как в старом анекдоте про русского кодера за бугром, который подпись на чеке на круглую сумму поставить не мог. Если б я писать умел, ёпрст, работал бы сейчас на «Красном Богатыре»! В ходу шутка была в конце 90-х :)
«Дебаги показали, что в ЦП лупит один конкретный поток „
А не подскажите, как это смотрелось?
show processes cpu при этом наверное показывал IP input в топе и что-нибудь типа sh cef not-cef-switched нарастало не кисло. А как конкретную тсп-сессию отловить?
Хм. А много ли бешеных терабайтов 3750 перемелет процом (PowerPC 405 кажется) и не растянется ли это с недели на годы? Я на 3560 однажды поставил эксперимент — поднял gre-тонель (ессно это все работало чисто софтверно ибо по другому не умеет). 10 мбит через этот тунель — смерть цпу.
А если бы там еще control-plane был защищен неудачно…
Забыли пункт 5. Убедить клиента, что ему это не надо. Рассказать, как VoIP бороздит просторы. Если АТС у него уже есть и ip в ней нет — подсказать техническое решение по шлюзованию. Хотя похоже этот вариант мало реалистичен, если учесть ту корявую формулировку, которая типа требует clear channel и никак иначе.
И да, если брать ответ автора на 15 — то не столько важно понять, откуда эти адреса берутся на интерконнетах маршрутизаторов, сколько то, что немаршрутизируемость — это значит на такой адрес нельзя доставить пакет, а вот адерс источинка может быть любым, в том числе и немаршрутизируемым в инетах. Еще бывает обратная ситуевина. Клиент, делая трейс до локального ресурса провайдера недоумевает — почему с серыми адресами в перемешку белые?
По поводу 15. Сколько угодно примеров, когда сканы идут с приватных адресов, dns-запросы, да мало ли что еще.
Такое ощущение, что их не фильтрует никто на выход. Прикольный побочный эффект у тех, кто этого не учитывает — ответы на такие запросы летят внутрь ЛВС. Когда это не просто ЛВС, а большая межрегиональная приватная сетка крупной конторы на базе L3 VPN (например), такие ответы часто находят свою цель. Иногда это выглядит для владельца приватного диапазона, совпавшего с таким левым src как скан или даже подобие дос-а.
Еще у одного провайдера, который используем как резерв, обнаружилась интересная особенность — он из своей сети выпускает без проблем пакеты с белыми-не-своими src. Забавная получалась ассиметрия. Можно юзать для затруднения анализа трафика со стороны провайдера :)
Ваше утверждение — делай на чем умеешь.
Мое утверждение — подумай, прежде чем так делать.
Если не понятно — вот вам пример.
Я могу сделать, допустим, на фре или слаке. Тонко, надежно, используя годами наработанный материал (скрипты, какие-то связки опенсорсного софта, возможно даже свои патчи). Но пораскинув мозгами я понимаю, что после меня с этим никто или почти никто не разберется. Поэтому я вздыхаю, покупаю микротик и начинаю с ним разбираться именно потому что сообщество и прочая-прочая. Или, взглянув повнимательней на фирму и ее задачи я им говорю — ребята, вот вам керио на рабочую станцию и уймитесь уже.
Да, так, но тогда приведенная мной цитата из вашего поста некорректна.
Сравните.
"… то получаете утроение вероятности сбоя данной совокупности копий" vs «то вероятность сбоя отдельного диска в целой группе будет больше, чем в случае единственного диска, просто за счет того, что объектов больше.»
Ко второй цитате претензий нет, первую можно понять так, что сбой элемента группы фатален для всей группы, что, конечно же не так.
Было бы точней что-то типа "… то получаете утроение вероятности сбоя отдельного элемента из данной совокупности копий", но вероятность для совокупности как единого объекта не растет, а уменьшается по такой-то зависимости.
Совсем-совсем опытный админ еще посоветует учесть, как долго ты собираешься работать там, где ты настраиваешь этот роутер, кто потенциально будет работать после тебя или лучше так — кого сможет найти эта контора, исходя из реалий местности и времени вместо тебя, если ты уйдешь. И если подставить людей ты не хочешь, то может лучше потрудиться и изучить что-то более стандартное или легко обслуживаемое, чем то, что ты волею судеб уже умеешь «готовить». Или наоборот, что-то потяжеловесней, но не потому, что просто оно круче, а потому что потом проживет дольше и меньше создаст людям проблем вида — и кто теперь во всем этом после него разберется?!
Ну магией то удастся как раз. Например WAAS или как там его. Вдруг окажется, что кроме алгоритма управления перегрузками там кэширование, дедупликация, компрессия, кастрация лишнего в протоколах L7 и прочее. Что конечно же уже не имеет никакого отношения к написанному в статье.
Министерство обороны США приобрело право доступа к исходному коду программ производства компании Microsoft. Сделка обошлась ведомству в $412,2 млн.
Для того чтобы Минобороны США получило доступ к данным Microsoft, министерству пришлось заключить дополнительное соглашение о сервисе техподдержки по программе Microsoft Enterprise Technical Support Services (METSS).
Согласно опубликованному на сайте ведомства анонсу контракта, в числе консультационных услуг Минобороны получает эксклюзивную лицензию на изучение закрытого кода программ Microsoft. Более того, ведомство обретают доступ к ряду «проприетарных ресурсов». К последней относиться закрытая документация для разработчиков, а также сопроводительные документы.
Подумаешь. Вот если бы он самозародился и саморазвился из exe-вируса 90-х в облачного самоокупаемого бота, вот это было бы да. А тут опять, панимаишь, демиурги-создатели, разумный замысел и все такое…
Не знаю, надо пробовать. На скорую руку на 100 мбит сетевухе одной виртуалки, что сейчас под рукой экземпляр hping3 --flood дает 15-20kpps, что будет, если пустить десяток потоков — ни най.
-i --interval wait (uX for X microseconds, for example -i u1000)
--fast alias for -i u10000 (10 packets for second)
--faster alias for -i u1000 (100 packets for second)
--flood sent packets as fast as possible. Don't show replies.
Настройка протокола IP для Windows
Подключение по локальной сети — Ethernet адаптер:
DNS-суффикс этого подключения..:…
IP-адрес............: 10.16.1.217
Маска подсети..........: 255.255.255.224
Основной шлюз..........: 10.16.1.193
10:40:05.344028 arp who-has 10.16.1.217 (00:0c:29:a0:99:f8) tell 10.16.2.1
10:40:05.344043 arp reply 10.16.1.217 is-at 00:0c:29:a0:99:f8
Линукс
10:47:42.340969 ARP, Request who-has 192.168.10.1 (00:0c:29:90:4d:6a) tell 10.16.2.1, length 28
10:47:42.352337 ARP, Reply 192.168.10.1 is-at 00:0c:29:90:4d:6a, length 46
Арп запрос в одном л2 сегменте, но для разных л3 сегментов нормально обрабатывается и виндой и никсом.
Проходит несколько лет, заграница, банк. Наш герой снимает крупную сумму ненаших денег, весь такой в белом. Его просят расписаться и тогда он выдает уже озвученную фразу про совершенно другую судьбину, если бы он писать умел :)
А не подскажите, как это смотрелось?
show processes cpu при этом наверное показывал IP input в топе и что-нибудь типа sh cef not-cef-switched нарастало не кисло. А как конкретную тсп-сессию отловить?
А если бы там еще control-plane был защищен неудачно…
Такое ощущение, что их не фильтрует никто на выход. Прикольный побочный эффект у тех, кто этого не учитывает — ответы на такие запросы летят внутрь ЛВС. Когда это не просто ЛВС, а большая межрегиональная приватная сетка крупной конторы на базе L3 VPN (например), такие ответы часто находят свою цель. Иногда это выглядит для владельца приватного диапазона, совпавшего с таким левым src как скан или даже подобие дос-а.
Еще у одного провайдера, который используем как резерв, обнаружилась интересная особенность — он из своей сети выпускает без проблем пакеты с белыми-не-своими src. Забавная получалась ассиметрия. Можно юзать для затруднения анализа трафика со стороны провайдера :)
Ваше утверждение — делай на чем умеешь.
Мое утверждение — подумай, прежде чем так делать.
Если не понятно — вот вам пример.
Я могу сделать, допустим, на фре или слаке. Тонко, надежно, используя годами наработанный материал (скрипты, какие-то связки опенсорсного софта, возможно даже свои патчи). Но пораскинув мозгами я понимаю, что после меня с этим никто или почти никто не разберется. Поэтому я вздыхаю, покупаю микротик и начинаю с ним разбираться именно потому что сообщество и прочая-прочая. Или, взглянув повнимательней на фирму и ее задачи я им говорю — ребята, вот вам керио на рабочую станцию и уймитесь уже.
Сравните.
"… то получаете утроение вероятности сбоя данной совокупности копий" vs «то вероятность сбоя отдельного диска в целой группе будет больше, чем в случае единственного диска, просто за счет того, что объектов больше.»
Ко второй цитате претензий нет, первую можно понять так, что сбой элемента группы фатален для всей группы, что, конечно же не так.
Было бы точней что-то типа "… то получаете утроение вероятности сбоя отдельного элемента из данной совокупности копий", но вероятность для совокупности как единого объекта не растет, а уменьшается по такой-то зависимости.
Именно совокупности? Т. е. всех сразу?
Таким образом, всех причастных к перехвату трафика закон обязывает лгать, когда их спрашивают об этом. Даже сам факт зеркалирования трафика в направлении некоего чёрного ящика – это уже «организация ОРМ» или даже «метод ОРД». В других странах оно устроено совершенно аналогично. Правда в некоторых лгать публике не обязательно, надо лишь произнести специальную фразу, которая означает: «Либо не знаю, либо не хочу, либо нельзя говорить» (однозначное «нельзя говорить» – это уже какая-то информация, уже утечка).
Министерство обороны США приобрело право доступа к исходному коду программ производства компании Microsoft. Сделка обошлась ведомству в $412,2 млн.
Для того чтобы Минобороны США получило доступ к данным Microsoft, министерству пришлось заключить дополнительное соглашение о сервисе техподдержки по программе Microsoft Enterprise Technical Support Services (METSS).
Согласно опубликованному на сайте ведомства анонсу контракта, в числе консультационных услуг Минобороны получает эксклюзивную лицензию на изучение закрытого кода программ Microsoft. Более того, ведомство обретают доступ к ряду «проприетарных ресурсов». К последней относиться закрытая документация для разработчиков, а также сопроводительные документы.
-i --interval wait (uX for X microseconds, for example -i u1000)
--fast alias for -i u10000 (10 packets for second)
--faster alias for -i u1000 (100 packets for second)
--flood sent packets as fast as possible. Don't show replies.
Почему не задействовали?