Comments 27
UFO just landed and posted this here
Тут ситуация даже чуть хуже — любой пакет с различающимся заголовками вызовет подобное. Например, банальная UDP-атака с разных хостов или даже с разных src-port вызовет такую же проблему.
0
UFO just landed and posted this here
Так это просто nmap все положит.
0
Вывод — нехай использовать flow без необходимости. По пакетная маршрутизация наше всё.
0
Спасибо. Очень интересно. С openvswitch еще не работал, но, видимо, предстоит.
+1
Баге уже куча времени, давно исправлена и тп. Зачем о ней писать сейчас? Все более или менее серьезные конторы все равно ключевой софт собирают сами и патчат и тп.
Так что на мой взгляд проблема сильно надута.
Так что на мой взгляд проблема сильно надута.
-1
И много вы знаете контор, которые патчат xenserver без одобрения цитрикса, да еще не LTS версию?
А написал я потому что в очередной раз спросили что да зачем, а я очень устал рассказывать одно и то же подробно.
Кроме того, сами ovs'ники не считают это уязвимостью, а говорят про «improved performance in some cases», а на самом деле это беда-беда для хостеров.
А написал я потому что в очередной раз спросили что да зачем, а я очень устал рассказывать одно и то же подробно.
Кроме того, сами ovs'ники не считают это уязвимостью, а говорят про «improved performance in some cases», а на самом деле это беда-беда для хостеров.
+2
Так никто не заставляет использовать ovs, вот они и не считают это бедой бедой. А зачем получать одобрение цитрикса для патча?
+1
Пользователи опенстека не ограничены в выборе версии OVS для большинства существующих дистрибутивов. Пользователи, сидящие на зенсервере в 2014 году, как бы это помягче сказать, ссзб, независимо от понуждающих причин. В общем проблема в современном мире отсутствует, vase совершенно верно подметил.
+1
Ну, вот trusty вышла недавно — а до этого официальным OVS'ом для cloud archive считался 1.9. Лениво искать, но, подозреваю, что у многих готовых бандлов openstack'а там внутри тот же 1.9.
Причина проста — волшебные буквы LTS в названии.
Причина проста — волшебные буквы LTS в названии.
0
Так никто не мешает взять посмотреть megaflow и сделать патчи к lts =). Все сидят и ждут, что кто-то поправит. К тому же модуль ядра обновить даже в цитриксе мне кажется не сложно…
0
Патчи к LTS сделать нельзя, потому что исправление это (в отличие от моего куцего патча) — фактическое переписывание функционала.
У цитрикса _всё_ сложно. Хотя бы потому, что все компоненты enterprise-части, написанные на bash'е (/etc/xensource/scripts) ожидают строгого поведения от других компонент и начинают нервно ломать что попало, когда их ожидания не выполняются.
У цитрикса _всё_ сложно. Хотя бы потому, что все компоненты enterprise-части, написанные на bash'е (/etc/xensource/scripts) ожидают строгого поведения от других компонент и начинают нервно ломать что попало, когда их ожидания не выполняются.
0
Тут есть несколько факторов — а) практически все установки, использующие нейтрон и ovs — приватные б) публичные опенстечные облака используют только и исключительно нова-нетворк, в) у крупняка хватит денег на специалиста, который умеет отличать буквы LTS от работающего решения. Тем, кто не классифицируется по этим множествам, можно, пожалуй, посочувствовать :) Тем не менее, год назад картина была, конечно, ужасающей.
0
А вот эту мысль не поясните? Чем neutron не угодил public cloud?
0
Слишком сложен и гоняет лишний траффик внутри сегмента. Разделение идет по типам задач — публичной сети организация сети сложнее картофелины не нужна, а в приватной можно наворотить с квантумом суперсложную топологию под пожелания энтерпрайзов. О публичных опенстечных сетях, ориентированных не на розницу, мне ничего не известно.
0
Ну, переложить с ноды на ноду трафик — не велика нагрузка. Но, неужели, никто не делает lbaas и metering для паблика? У каждого свои велосипеды?
Я думаю, это, скорее наследие времени начала деплоя, когда квантум был страхолюда-страхолюдой…
Я думаю, это, скорее наследие времени начала деплоя, когда квантум был страхолюда-страхолюдой…
0
Все более или менее серьёзные конторы? Ну-ну.
habrahabr.ru/company/sdn/blog/225587/?reply_to=7667415#comment_7667431
habrahabr.ru/company/sdn/blog/225587/?reply_to=7667415#comment_7667431
0
Ого, зашёл на Хабр, а тут такое оповещение :) Спасибо.
0
citrix xenserver openvswitch workaround:
xe-switch-network-backend bridge
0
Sign up to leave a comment.
DoS уязвимость в Open vSwitch