Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Pokiety UDP o dlugości ponad 8000bit
http://forum.freesco.pl/viewtopic.php?f=24&t=14057		 Strona 1 z 2
Autor:  zciech [ poniedziałek, 13 listopada 2006, 21:51 ]
Tytuł:  Pokiety UDP o dlugości ponad 8000bit
Natknąłem sie na pewenego rodzaju minę, ktora rozwala cały misterny plan kształtowania ruchu. jakis program wysyla bardzo duze pakiety udp ponad 8000kbit, ktore przechodza przez siec i wchodza/wychodza do/z serwera jako fragmenty:
: [/] [] ()
│ UDP (1500 bytes) from 192.168.0.74:45451 to 83.13.59.66:38126 on eth1                         │
│ UDP fragment (1500 bytes) from 192.168.0.74 to 83.13.59.66 on eth1                            │
│ UDP fragment (1500 bytes) from 192.168.0.74 to 83.13.59.66 on eth1                            │
│ UDP fragment (1500 bytes) from 192.168.0.74 to 83.13.59.66 on eth1                            │
│ UDP fragment (1500 bytes) from 192.168.0.74 to 83.13.59.66 on eth1                            │
│ UDP fragment (1031 bytes) from 192.168.0.74 to 83.13.59.66 on eth1                           
GeSHi © Codebox Plus


Ale :idea: podczas fowardingui natu sa one skladane w calosc i to powoduje, ze wszystkie liczniki (na interfejsach sieciowych eth i imq oraz w lancuchach iptables ) wariuja i albo nie pokazuja wlasciwie, albo program omija kontrole htb:
z tc-vewer
: [/] [] ()
2:38                 <      9Kbit -     65Kbit >    156.8 kbit/s
GeSHi © Codebox Plus

rate 9k, ceil 65k, a pokazuje ze przesyla 156k


: [/] [] ()
class htb 2:38 parent 2:1 leaf fcc7: prio 4 quantum 1500 rate 9Kbit ceil 65Kbit burst 1610b/8 mpu
 Sent 25273375 bytes 7263 pkts (dropped 0, overlimits 0)
 rate 20955bps 10pps backlog 5p
 lended: 1164 borrowed: 6094 giants: 3252
 tokens: -1173677 ctokens: -171422
GeSHi © Codebox Plus


doraźnie zabralem kernelowi pamiec na skladanie fragmentow :twisted:
nie doszukalem sie funkcji wylaczania skladania pakietow.
jest opcja iptables -f wybierajaca fragmenty, ale ona nie dziala bo przed wejciem do iptables pakiet skladany jest w calosc.
Autor:  viater [ poniedziałek, 13 listopada 2006, 22:20 ]
Tytuł:  Re: Pokiety UDP o dlugości ponad 8000bit
zciech pisze:
doraźnie zabralem kernelowi pamiec na skladanie fragmentow

To pochwal się jak to zrobić (na wszelki wypadek :wink: )
A tak w ogóle to cwaniak z tego programu ...
Autor:  tasiorek [ wtorek, 14 listopada 2006, 01:09 ]
Tytuł: 
Nie wydaje mi sie to zbyt dobrym pomyslem, bo z tego co sie orientuje, to pociachany pakiet w przypadku natowania musi byc zlozony, zeby router wiedzial dokad ma dotrzec, bo tylko pierwsza czesc pakietu zawiera naglowek
( http://www.hasenstein.com/linux-ip-nat/ ... node4.html ).
W przypadku TCP wystarczy wlaczyc negocjacje MSS i po problemie. W UDP moze poprostu dropowanie wiekszych pakietow da do zrozumienia temu durnemu programowi, ze ma wysylac mniejsze paczki.
BTW: Kto ustawia MTU na 8000?
Autor:  zciech [ wtorek, 14 listopada 2006, 13:39 ]
Tytuł: 
Cytuj:
Nie wydaje mi sie to zbyt dobrym pomyslem, bo z tego co sie orientuje, to pociachany pakiet w przypadku natowania musi byc zlozony, zeby router wiedzial dokad ma dotrzec, bo tylko pierwsza czesc pakietu zawiera naglowek

Pisałem o tym :idea:

No to nie dotrze :twisted: aż sie nauczy zeby byl taki jak należy.

Cytuj:
W przypadku TCP wystarczy wlaczyc negocjacje MSS i po problemie. W UDP moze poprostu dropowanie wiekszych pakietow da do zrozumienia temu durnemu programowi, ze ma wysylac mniejsze paczki.
BTW:

Oczekuję KONKRETNYCH propozycji


Cytuj:
Kto ustawia MTU na 8000?

Nikt to program wysyla takie dluuuuuuuuuuuuuuuugie pakiety.

: [/] [] ()
iptables -I FORWARD  -m length --length 1501:65535 -j REJECT
GeSHi © Codebox Plus
Autor:  puchatek007 [ wtorek, 14 listopada 2006, 20:48 ]
Tytuł: 
Niech zgadne. Ares?? Taki bardzo wredny program p2p.
Autor:  2jarek [ wtorek, 14 listopada 2006, 21:00 ]
Tytuł: 
Cos w tym jest ares dziwacznie sie zachowywal z moim stiuningowanym niceshaperem nie moglem wylapac jego uploadu nie wpadlem na to ze moze isc pakietami wiekszymi niz 1500 bajtow :)
Autor:  maystero [ środa, 15 listopada 2006, 01:36 ]
Tytuł: 
zciech pisze:
: [/] [] ()
iptables -I FORWARD  -m length --length 2000:20000 -j REJECT
GeSHi © Codebox Plus

to załatwi sprawę?
Autor:  MAC!EK [ środa, 15 listopada 2006, 02:18 ]
Tytuł: 
maystero pisze:
zciech pisze:
: [/] [] ()
iptables -I FORWARD  -m length --length 2000:20000 -j REJECT
GeSHi © Codebox Plus

to załatwi sprawę?

chyba że pakiet przekroczy długość 20000 :] sądzę że można to rozszerzyć do 65535
Autor:  -MW- [ środa, 15 listopada 2006, 09:12 ]
Tytuł: 
a co z tymi pomiedzy 1500 a 2000 ?
Autor:  dafi [ środa, 15 listopada 2006, 22:20 ]
Tytuł: 
sam też używam aresa w mojej sieci i jest tak jak mówił
puchatek007 pisze:
Niech zgadne. Ares?? Taki bardzo wredny program p2p.

tez mam serwer na NND u siebie i sie zgadza.
JEdnak po wykonaniu
: [/] [] ()
iptables -I FORWARD  -m length --length 2000:20000 -j REJECT
GeSHi © Codebox Plus

Ares przestaje ściagać pliki ale ruch pakietów wciąż jest tyle tylko ze mają one inny rozmiar z 1500 zeskoczyły u mnie do 57bytów czasami 40.

Zauważyłem jednak jedno. Że ares za każdym razem przy przyłączeniu się do sieci łączy się z tym samym adresem MAC. Nigdy z żadnym innym. tak przynajmniej jest u mnie.

Myślałem więc o jakiejś regułce w iptables która blokowała by ruch od jakiegoś użytkownika w sieci do tego adresu MAC.

Z reszta podaje ten adres mac : 00:10: 4B:33:8A:79

jak ktoś wie jak utworzyć taką regułkę to dajcie na forum. Też skorzystam
Autor:  zciech [ środa, 15 listopada 2006, 22:28 ]
Tytuł: 
Cytuj:
Search results for "00:10:4B"


MAC Address
Prefix Vendor
00104B 3com corporation


A czy przypadkiem nie jest to mac karty kompa z aresem??
Autor:  dafi [ środa, 15 listopada 2006, 22:44 ]
Tytuł: 
napaliłem się za szybko i nie pomyślałem :oops:

to karta mac mojego serwerka :D

:oops: :oops: :oops: :oops: :oops: aż mi głupio
no cóż pomyłki się zdarzają

nie wiem jak zablokować tego aresa;/
chociaż będę próbował
Autor:  marask [ środa, 15 listopada 2006, 22:46 ]
Tytuł: 
albo sieciówki na serwie :)
Autor:  puchatek007 [ środa, 15 listopada 2006, 22:58 ]
Tytuł: 
Ja zablokowałem porty UDP wszytskie opróćz portu 53.
Kiepskie rozwiązanie ale skuteczne, na inne niewpadłem jeszcze jak i Wy :(.
Autor:  zciech [ środa, 15 listopada 2006, 23:07 ]
Tytuł: 
To jest WOJNA
Autor:  dafi [ środa, 15 listopada 2006, 23:56 ]
Tytuł: 
hmm :?: ciężka sprawa

Powiem szczerze że ares to nawet niezły program p2p. Jeśli ktoś jest za firewallem i nie ma możliwości przekierować portów. To ten program jest rozwiązaniem.

Fakt, że jako administrator sieci swojej, zablokował to kurczerstwo to trudno. Można też zrobić tak.

Na początku ładnie konkretnego użytkownika poprosić aby nie korzystał z tego programu p2p. A następnie jeśli nie zgodzi się na to, po prostu go odciąć od neta.

Zastanawiam się tylko jakie argumenty takiego członka :o naszej sieci powinny przekonać aby nas posłuchał ;]
Autor:  marask [ czwartek, 16 listopada 2006, 09:59 ]
Tytuł: 
Cytuj:
To jest WOJNA


ale my mamy atomówkę (iptables -p udp -j DROP :twisted: )
Autor:  zciech [ czwartek, 16 listopada 2006, 13:39 ]
Tytuł: 
Ja mam wodorową - szczypce z bocznym cięciem.
Autor:  viater [ czwartek, 16 listopada 2006, 14:30 ]
Tytuł: 
zciech pisze:
Ja mam wodorową - szczypce z bocznym cięciem.

Yessssssssssss :twisted:
Autor:  litr [ środa, 13 grudnia 2006, 13:38 ]
Tytuł: 
Ma ktos z Was sprawdzony sposob na Ares'a?
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/