Blokování IP adres a bezpečnost

Re:Blokování IP adres a bezpečnost
« Odpověď #90 kdy: 21. 05. 2013, 10:44:01 »
Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...
Neni nic jednodussiho, nez se ho zeptat na tamejsim foru. Kdyz si tady dal povedes svuj monolog, tak tim nikomu nepomuzes.


DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #91 kdy: 21. 05. 2013, 10:53:28 »
Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...
Neni nic jednodussiho, nez se ho zeptat na tamejsim foru. Kdyz si tady dal povedes svuj monolog, tak tim nikomu nepomuzes.

problém je trochu v tom, že j tomu, narozdíl od tebe, rozumí a zřejmě fakticky provozuje.

Re:Blokování IP adres a bezpečnost
« Odpověď #92 kdy: 21. 05. 2013, 11:02:48 »
problém je trochu v tom, že j tomu, narozdíl od tebe, rozumí a zřejmě fakticky provozuje.
Co j provozuje a neprovozuje, to si muzeme jenom vyfantazirovat. Netvrdim, ze nema pravdu, prave proto, ze jsem nikdy u ISP nepracoval. Jenom proste tem duvodum, co rika, nerozumim, proto dotaz na foru, kde se pohybuji lidi, kteri tomu rozumi.

Pokud chce j rozporovat neci tvrzeni opacna k tem jeho, tak to ma udelat tam a ne tady, kde mu nikdo primo neodporuje a pokud s nim nekdo nesouhlasi, tak jenom ve stylu "co pises se mi nezda".

Rhinox

Re:Blokování IP adres a bezpečnost
« Odpověď #93 kdy: 21. 05. 2013, 11:04:38 »
...Nemluve o tom, ze ten clovek absolutne vubec nema paru o tom, jakou zatez vygeneruje filtrovani nejakyho trafficu - kde se nebavime o Mbitech, ale Gbitech. Oni si totiz ISPcka ty krabice za miliony porizujou jen tak pro srandu ...
Ja bych rekl, ze tu "paru" o tom ma. Ono je rozdil filtrovat dle zdrojovych adres (coz je naprosto primitivni vec, a na 1gbit rychlosti to zvladne kdejaky domaci router za par stovek), a filtrovat dle obsahu packetu (nebo statefull, pattern, ips, atd). Na to druhe filtrovani potrebujes ty "krabice za miliony", s docela slusnym HW...

Lenin POWER!

  • ****
  • 434
  • Nekecat a delat!
    • Zobrazit profil
    • Tribut Leninovi
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #94 kdy: 21. 05. 2013, 14:04:05 »
Rozumite tomu jak koza nakladaku.

Filtrovani velmi vyrazne brzdi router viz http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6723/prod_white_paper0900aecd803936f6.html

Myslet si ze si do border routeru jentak nastavite ten bogon list filter (asi 30 polozek). To si budete muset hodne priplatit na HW. Pohadkama o tom jak filtruji na border routerech vas krmi ti co tam maji prakticky nulovy trafik. Ano je to tak primitivni vec, jen 10 ruli zvedne trojnasobne CPU % na routeru.

Pohadky o tom ze domaci router s pomalym procakem prefiltruje gigabit, ten casto neudela ani routing 100 Mbit se standardnima 500 byte paketama. Podivejte se, border routery jsou extremne drahe a u nas mame linku JENOM 45Gbit.

Navic resite naprosto imaginarni problem, prenosova kapacita je levna, nedavno mi nabizeli jestli od nich nechci 120Gbit ze maji pobliz optiku, ze si proste k nim natahnu drat a daji mi to velmi levne protoze to proste potrebujou prodat. To co je drahy je linka a hardware. Nebudu investovat do pripojeni kdyz pro nej nemam vyuziti a to upozornuju ze nefiltrujeme vubec nic - napriklad lidem z DSL torrenty nebo serverum odchozi trafik aby si nebrali vic nez maji zaplaceno.

Myslet si ze providera 1-2 Gbit DDOS (to je asi tak prumer) polozi je pitomost, navic trvaji dost kratce - kdyz zjisti ze to ustojite tak to utne. Tady mate graf z wedosu https://www.facebook.com/photo.php?fbid=10150675220757780&set=a.10150673610907780.458111.259342012779&type=3&theater Rekneme ze wedos je pripojenej 10 Gbit linkou a plati podle trafiku kterej jim tam chodi. Rozdil mezi tim jestli jim tam chodi 1 gbit nebo 3 gbit (s ddosem) je ale velmi velmi maly vzhledem k cene linky a hw.